一、SQL注入风险
关于SQL注入,一般来说是利用各种机会将恶意SQL代码添加到程序参数中,并最终被服务器端执行,造成不良后果。
1.测试方法:
https://www.cnblogs.com/safoie/p/10521654.html
2.如何防护:
防治SQL注入式攻击可以采用两种方法:一是前端加强对用户输入内容的检查与验证;二是逻辑业务控制舍弃使用+拼接方方式,强迫使用参数化语句来传递用户输入的内容。
二、框架钓鱼风险
一个HTML页面可以有一个或多个子框架,这些子框架以来标记,用来显示一个独立的HTML页面。
钓鱼网站主要有两种类型:
(1)、主动用于钓鱼网站,就是高访网站、专门用于钓鱼。如:中国工商银行的官网是:www.iabc.com,钓鱼网站可能仅仅修改部分,例如:www.labc.com,钓鱼网站表面上看,内容和官网完全一样,甚至会弹出来的公告都和你平常见的页面一样。这样当你在钓鱼网站用你的银行账号与密码登录后,你的银行账号与密码就存储到钓鱼网站的数据库中,然后你的银行账号就不安全了。
(2)、另一网站本身不是专门的钓鱼网站,但由于被其他网站利用,成了钓鱼网站。一个网站如果能被框架,就有被别人网站钓鱼的风险。
1.测试方法:
举例:在文本框输入
2.如何防护:
三、XSS攻击风险
跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
1.测试方法:
(1)打开网站
(2)在输入框里输入
期望结果:返回正常,无弹出对话框,浏览器不响应脚本信息
2.如何防护:
(1)验证所有输入数据,有效检测攻击
(2)对所有输入数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端执行