背景介绍
Web应用程序通常是指通过HTTP / HTTPS协议共同提供服务的B / S体系结构。 随着Internet的发展,Web应用程序已集成到我们日常生活的各个方面。 在当前的Web应用程序中,大多数应用程序不是静态Web浏览,而是涉及服务器的动态处理。 如果开发人员的安全意识不强,将导致无休止的Web应用程序安全问题。
我们通常指的Web应用程序攻击是指攻击者通过浏览器或其他攻击工具向URL或其他输入区域(例如表单)中的Web服务器发送特殊请求,以发现Web应用程序的存在。 反过来,通过操作和控制网站来达到入侵者的目的。
常见的安全漏洞
一,SQL注入
SQL注入(SQL Injection)是最常见的漏洞,具有多种影响。 攻击者将SQL命令插入Web表单以提交或输入域名或页面请求的查询字符串,并最终诱使服务器执行恶意SQL命令,从而入侵数据库以执行任意查询。
SQL注入可能造成的危害是:篡改了网页和数据,窃取了核心数据,攻击了数据库所在的服务器,并使之成为a主机。
例如,某些网站不使用预编译的SQL,并且用户在界面上输入的某些字段将添加到SQL。 这些字段可能包含一些恶意SQL命令。 例如:password =“ 1'OR'1'='1”; 即使您不知道用户密码,也可以正常登录。
测试方法:
在需要查询的页面上,输入简单的SQL语句,例如正确的查询条件和1 = 1,然后检查响应结果。如果结果与正确的查询条件相符,则表明该应用程序尚未筛选用户输入,并且可以初步判断它存在。 SQL注入漏洞
二,XSS跨站点脚本攻击
SS