關於Web安全的理解

2021-09-12 17:21:00 字數 1002 閱讀 4575

目前只看了三種攻擊方式

一.xss跨站指令碼攻擊

二.sql注入

三.csrf跨站請求偽造

反射型xss攻擊

此種攻擊通俗點講,就是在使用者輸入的地方,輸入一些惡意的指令碼,通常是textarea,然後通過某種方式立即執行,然後獲取到一些想要得到的資訊,比如cookie等,然後傳送到自己的伺服器。(沒有想到具體哪些案例會立即執行)

此種攻擊的解決方案一般是在使用者輸入的地方做一些過濾,過濾掉這一部分惡意指令碼。

儲存型xss攻擊

此種攻擊通俗點講,就是在使用者輸入的地方,輸入一些惡意的指令碼,通常是富文字編輯器或者textarea等地方,然後在讀取富文字的時候,如果沒有做過濾和限制,就會直接執行使用者輸入的惡意指令碼。儲存型說的就是資料會儲存到伺服器或者資料庫。

此種攻擊的解決方案和上面一樣,在使用者輸入的地方做一些過濾,過濾掉這一部分惡意指令碼。

dom型xss攻擊

dom型xss攻擊也是在使用者輸入的地方輸入一些指令碼,不同的是這個指令碼可能直接就在客戶端執行,不經過伺服器。

xss攻擊基本是在使用者輸入的地方輸入一些惡意指令碼,已達到以下的目的:

獲取cookie等一些重要的資訊

插入一些js或者css修改和破壞頁面結構

執行某段js,使頁面跳轉到其他頁面

基本的防禦方法就是在使用者輸入的地方或者顯示的地方:

過濾危險節點,如script,style,link,iframe等

過濾一些危險的屬性,如href,src等

對cookie設定httponly

修改資料的介面,盡量使用post請求

使用cookie同源策略

推薦的文章web安全之csrf攻擊其實還講了其他的幾種方法,但是都沒接觸過,不太理解,所以沒有寫下來。

對使用者輸入的內容進行校驗和過濾

不要動態拼接sql語句

不要使用管理員許可權連線資料庫

敏感欄位要進行md5加密

關於Web安全的理解

目前只看了三種攻擊方式 一.xss跨站指令碼攻擊 二.sql注入 三.csrf跨站請求偽造 反射型xss攻擊 此種攻擊通俗點講,就是在使用者輸入的地方,輸入一些惡意的指令碼,通常是textarea,然後通過某種方式立即執行,然後獲取到一些想要得到的資訊,比如cookie等,然後傳送到自己的伺服器。沒...

關於Web安全的理解

目前只看了三種攻擊方式 一.xss跨站指令碼攻擊 二.sql注入 三.csrf跨站請求偽造 反射型xss攻擊 此種攻擊通俗點講,就是在使用者輸入的地方,輸入一些惡意的指令碼,通常是textarea,然後通過某種方式立即執行,然後獲取到一些想要得到的資訊,比如cookie等,然後傳送到自己的伺服器。沒...

關於web安全

現如今,科技飛速發展,人們的安全問題也隨之出現。在網際網路方面也同樣有這樣乙個問題,網際網路的快速發展,但隨之而來的同樣有安全問題,這個就是這篇部落格的主題 web安全。一 定義 隨著社交網路等很多網際網路產品的誕生,基於web環境的網際網路應用也越來越廣泛,正是因為此,黑客就利用 的作業系統的漏洞...