信息安全——web防护
Web1.0时代——静态页面:html或者htm,是一种静态的页面格式,不需要服务器解析其中的脚本,由浏览器如解析。
Web2.0时代——动态页面:asp、aspx、php、jsp等,由相应的脚本引擎来解释执行,根据指令生成静态网页,在前端使用脚本程序增强交互。
1.依赖数据库
2.灵活性好,维护简便
3.交互性好,功能强大
4.存在安全风险,例如注入、跨站、上传等攻击
Web业务平台的不安全性主要是由Web平台的特点,即开放性所致。
根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。
根据世界上权威的Web安全与数据库安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和XSS跨站脚本攻击。
软件都是人写的,人都会犯错或考虑问题不周的,越大的系统越容易有漏洞。通常情况下99.99%无错的程序很少会出问题。但99.99%无错的程序仍会被非正常用户利用那0.01%的错误。0.01%安全问题等于100%的失败。
SQL注入
由于程序中对用户输入检查不严格,用户可利用应用程序根据提交的数据动态生成SQL命令的特性,在URL、表单域,或者其他的输入域中输入自己的SQL命令,改变SQL命令的操作,将被修改的SQL命令注入到后端数据库引擎执行。
原因:
(1)程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。
(2)未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。
最终,用户提交的参数数据未做充分检查过滤即被代入到SQL命令中,改变了原有SQL命令的“语义”,且成功被数据库执行。
214
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
