![](https://img-blog.csdnimg.cn/20190828093014152.jpg?x-oss-process=image/resize,m_fixed,h_224,w_224)
Web安全
Web安全学习整理
supermanhss
简单就好
展开
-
Web安全之XSS攻击
描述 跨站脚本攻击(Cross Site Scripting),恶意攻击者往Web页面里插入恶意的脚本代码,当用户浏览该页之时,嵌入其中脚本代码会被执行,从而达到恶意攻击用户的目的。 危害 盗取用户cookie的敏感数据,可能包含用户的账户、密码等资料; 以用户的权限控制或操作用户电脑; 脚本代码能实现的都可能被当成攻击手段; 攻击类型 反射型:指攻击的脚本代...原创 2019-08-18 17:00:52 · 150 阅读 · 0 评论 -
Web安全之SQL注入
描述 攻击者把恶意的SQL语句插入到表单数据里并提交,或把恶意的SQL语句插入到网站URL作为参与提交,欺骗服务器执行恶意的SQL语句。 检测 检测软件(jsky); 网站平台(忆思网络安全平台检测工具、MDCSOFT SCAN); 防护 永远不要相信用户的输入,对用户提交的数据进行验证并转义特殊符号保存; 永远不要动态的拼接SQL; 永远不要使用管理员权...原创 2019-08-20 15:54:33 · 176 阅读 · 0 评论 -
Web安全之CSRF攻击
描述 跨站点请求伪造(Cross—Site Request Forgery)。攻击者盗用合法用户的身份,发送恶意请求到服务器,然而对服务器来说,请求是完全合法的,于是服务器在完全不知情的情况下完成了攻击者所期望的操作。 攻击过程 首先用户浏览并登录了受信任站点A,通过站点A验证后,授权资料保存在站点A产生的Cookie信息里; 用户未退出网站A之前,在同一浏览器中...原创 2019-08-20 16:41:46 · 110 阅读 · 0 评论 -
Web安全之文件上传漏洞
描述 攻击者上传可执行的动态脚本文件(木马、病毒、脚本、Web shell等)到服务器,实现攻击。 防护 服务器校验文件扩展名(白名单校验); 服务器校验文件媒体类型-MIME Type(白名单校验); 服务器校验文件内容(截取文件内容验证); 重命名上传的文件; 设定上传文件目录为只读权限; 永远不要暴露文件保存路径、项目路径等重要信息; ...原创 2019-08-20 18:09:27 · 125 阅读 · 0 评论 -
Web安全之盗链
描述 网站非法调用其它网站的图片、视频、音乐、软件等资源,消耗其它网站的流量,侵犯其它网站的资源,造成其它网站服务器宽带与压力增大,甚至宕机。 Apache Web服务器解决方案 1 > http referer方式 在http协议中,有一个头部字段:referer,表示请求的来源网站,通过检查来源网站是否受信任来回应对应的资源。 在文件 ...原创 2019-08-21 11:59:32 · 503 阅读 · 0 评论