OWASP TOP 10
1、注入2、失效的身份认证和会话管理3、XSS 4、脆弱的访问控制 5、安全配置错误6、敏感数据暴露7、不充足的攻击检测与预防8、CSRF 9、应用已知脆弱性的组件10、未收保护的API
Sql注入
原理:通过输入构造域名或页面请求的字符串达到欺骗服务器执行恶意SQL命令。有布尔型注入(构造and条件判断页面返回情况获得信息),报错型注入(构造能够报错的sql命令获得报错信息),联合查询注入(union),多语句查询注入(select;select),基于时间延迟注入(加入判断和时间延迟语句)。
修复方式:
1、 过滤输入语句;
2、参数化处理
XSS
跨站脚本攻击,攻击者将恶意脚本代码注入到网页中,当其他用户浏览这些网页时执行其中的恶意代码。
修复方式:
1、 使用xss filter:输入过滤以及输出编码;
2、 Web安全编码规范:将能触发XSS的字符使用相应的HTML实体代替(<转成&It);
3、 使用浏览器插件:Firefox的NoScript插件,IE8的XSS Filter;
4、 使用HTTP-only的c