web安全問題彙總

2022-02-05 08:32:57 字數 1591 閱讀 2311

web**安全問題總結

一,資料庫安全性

1,    mssql資料庫安全性

l  web中不允許使用sa級的使用者連線資料庫

解決方法:

2,    access資料庫安全性

解決方法:

u  第一步:新建乙個表。

u  第二步:在表中建乙個字段,名稱隨意,型別是ole物件,然後用asp**向字段中新增一條記錄寫入單位元組的"<%" **為:insert into tablename(fieldname) value (chrb(asc("<")) & chrb(asc("%")))。

u  第三步:將資料庫改名為*.asp

二,web**安全性

1,    備份檔案時的小漏洞。

2,    防sql注入。

sql注入主要是單引號沒有過濾,讓人利用,重新生成乙個具有威脅性的sql語句。

如: 如果存在sql注入我們就可以這麼寫: ;delete * from tablename;後台執行時為select * from aaa where;delete * from tablename

解決方法:

這裡寫個例子:往往我們的**都是這麼寫的select * from aaa where bbb=』」 + sval +」』」 表面上看是沒有問題的,是正確的,不過此句存在sql注入。為什麼呢,請看:sval的值是外部提交的資料,如果sval的值為aaa』;delect * from bbb;-- 寫在一起就是:select * from aaa where bbb=』 aaa』;delect * from bbb;--『其中-- 『為注釋。

3,    登入漏洞。

解決方法:

4,    防另存為

解決方法:

5,    防被內嵌

解決方法:

防止別人內嵌我們的**,然後做些手角。如鍵盤記錄呀,監視我們輸入的資料呀等等。

6,    防本地提交資料

解決方法:

7,    防無限重新整理

解決方法:

8,    防無限提交資料/防ajax自動提交資料

解決方法:

9,    防js**

解決方法:

10,防cookie假冒

解決方法:

11,緩衝區溢位

解決方法:

12,其它

三,伺服器安全性

注意:其實以上內容大家都知道,哪麼為什麼還會出現這麼多漏洞呢。有時候我和其它的同伴常說一些費話,我常常會說單引號過濾了嗎,回答是都過濾了,我又說請再看一遍回答我,回答的還是都過濾了,當我看時依然是沒有完全過濾。這能反應乙個什麼問題大家都明白了吧。因為大家在寫**時寫法都是select * from aaa where bbb=』」 + sval +」』」已成習慣。其實我也常犯這個錯誤,所以特別在這裡提出。這就是重重之重。

以上都是廢話,希望對看到此文章的朋友有所幫助。如果寫的不足,請給新增部份email給我,共同學習。(完)

2006-12-15 至 2006-12-17

email:[email protected]

msn:[email protected]

web安全問題 csrf

1.原理 使用者登入a a 確認身份 b 向a 發起請求 帶a 身份 cookie會保留在網頁中 2.csrf攻擊危害 www.a.com前端 www.a.com後端 www.b.com前端 www.a.com後端 b 向a 請求帶a cookies 不訪問a 前端 refer為b 1.cookie...

驗證碼安全問題彙總

首先,我們來看下整個驗證碼實現的原理 圖一1.客戶端發起乙個請求 2.服務端響應並建立乙個新的sessionid同時生成乙個隨機驗證碼。3.服務端將驗證碼和sessionid一併返回給客戶端 4.客戶端提交驗證碼連同sessionid給服務端 5.服務端驗證驗證碼同時銷毀當前會話,返回給客戶端結果 ...

NTFS ADS帶來的web安全問題

有關ads的簡單說明請看 可以看到ads在很久以前就被一些安全人員所關注,並且也提出了一些經典的利用,比如隱藏檔案,隱藏webshell 隨著這次爆出來的iis的許可權繞過,我們再次測試了一下ads在滲透中的利用方法,並發現了一些比較有意思的現象。這裡主要給大家分享幾個利用方法,大家可以發散思維,想...