本文深入探讨了Web业务平台的安全问题,重点分析了两种主要的攻击方式:SQL注入和XSS跨站脚本攻击。SQL注入通过篡改用户输入,构造恶意SQL语句来获取数据库敏感信息。而XSS攻击则分为反射型和存储型,前者通过URL参数传播,后者将恶意脚本存储在服务器上,影响用户访问。了解这些攻击手段对于加强Web应用安全至关重要。
Web安全
Web业务平台的不安全性主要是由于Web平台的特点,即开放性所致。
信息安全攻击大部分是发生在Web应用层而非网络层面上。目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和YSS跨站脚本攻击。
一、SQL注入
QL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。
1.内联式
2.终止式
攻击者注入一段包含注释符的SQL语句,将原来的语句的一部分注释,注释掉的部分语句不会被执行。
二、XSS跨站
反射型XSS:反射型跨站脚本也称作非持久型、参数型跨站脚本、这类型的脚本是最常见的 ,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中
存储型XSS:反射型跨站脚本也称作非持久型、参数型跨站脚本、这类型的脚本是最常见的 ,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中
上传漏洞
上传功能是用户与服务器进行文件交互的重要手段。
文件上传攻击是指攻击者利用Web应用对上传文件过滤不严的漏洞,应用程序定义类型范围之外的文件(木马或后门程序)
858
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
