目前只看了三種攻擊方式
一.xss跨站指令碼攻擊
二.sql注入
三.csrf跨站請求偽造
反射型xss攻擊
此種攻擊通俗點講,就是在使用者輸入的地方,輸入一些惡意的指令碼,通常是textarea,然後通過某種方式立即執行,然後獲取到一些想要得到的資訊,比如cookie等,然後傳送到自己的伺服器。(沒有想到具體哪些案例會立即執行)
此種攻擊的解決方案一般是在使用者輸入的地方做一些過濾,過濾掉這一部分惡意指令碼。
儲存型xss攻擊
此種攻擊通俗點講,就是在使用者輸入的地方,輸入一些惡意的指令碼,通常是富文字編輯器或者textarea等地方,然後在讀取富文字的時候,如果沒有做過濾和限制,就會直接執行使用者輸入的惡意指令碼。儲存型說的就是資料會儲存到伺服器或者資料庫。
此種攻擊的解決方案和上面一樣,在使用者輸入的地方做一些過濾,過濾掉這一部分惡意指令碼。
dom型xss攻擊
dom型xss攻擊也是在使用者輸入的地方輸入一些指令碼,不同的是這個指令碼可能直接就在客戶端執行,不經過伺服器。
xss攻擊基本是在使用者輸入的地方輸入一些惡意指令碼,已達到以下的目的:
獲取cookie等一些重要的資訊
插入一些js或者css修改和破壞頁面結構
執行某段js,使頁面跳轉到其他頁面
基本的防禦方法就是在使用者輸入的地方或者顯示的地方:
過濾危險節點,如script,style,link,iframe等
過濾一些危險的屬性,如href,src等
對cookie設定httponly
修改資料的介面,盡量使用post請求
使用cookie同源策略
推薦的文章web安全之csrf攻擊其實還講了其他的幾種方法,但是都沒接觸過,不太理解,所以沒有寫下來。
對使用者輸入的內容進行校驗和過濾
不要動態拼接sql語句
不要使用管理員許可權連線資料庫
敏感欄位要進行md5加密
關於Web安全的理解
目前只看了三種攻擊方式 一.xss跨站指令碼攻擊 二.sql注入 三.csrf跨站請求偽造 反射型xss攻擊 此種攻擊通俗點講,就是在使用者輸入的地方,輸入一些惡意的指令碼,通常是textarea,然後通過某種方式立即執行,然後獲取到一些想要得到的資訊,比如cookie等,然後傳送到自己的伺服器。沒...
關於Web安全的理解
目前只看了三種攻擊方式 一.xss跨站指令碼攻擊 二.sql注入 三.csrf跨站請求偽造 反射型xss攻擊 此種攻擊通俗點講,就是在使用者輸入的地方,輸入一些惡意的指令碼,通常是textarea,然後通過某種方式立即執行,然後獲取到一些想要得到的資訊,比如cookie等,然後傳送到自己的伺服器。沒...
關於web安全
現如今,科技飛速發展,人們的安全問題也隨之出現。在網際網路方面也同樣有這樣乙個問題,網際網路的快速發展,但隨之而來的同樣有安全問題,這個就是這篇部落格的主題 web安全。一 定義 隨著社交網路等很多網際網路產品的誕生,基於web環境的網際網路應用也越來越廣泛,正是因為此,黑客就利用 的作業系統的漏洞...