WEB安全防御总结四 : 传输层保护不足(以加密方式传输敏感信息给服务器)

最新推荐文章于 2022-11-14 16:58:17 发布
最新推荐文章于 2022-11-14 16:58:17 发布
阅读量1.2k 收藏 4
点赞数 1
分类专栏: 安全防御 JavaScript 文章标签: WEB安全防御 传输层保护不足
原文链接:https://blog.csdn.net/qq_41485414/article/details/80323023
版权

漏洞简介:

诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息。

修复建议:

确保敏感信息,一律以加密方式传给服务器。

处理方式:

在前端把敏感信息加密后传给服务器。

具体是用MD5或者SHA1在线加密敏感信息,然后再传递给服务器。在服务端,可以再二次加密后再进行使用(如登录信息的匹配等)。

1. MD5加密:

前端加密代码如以下JS代码:


(function($){
	var rotateLeft = function(lValue, iShiftBits) {
		return (lValue << iShiftBits) | (lValue >>> (32 - iShiftBits));
	}
	var addUnsigned = function(lX, lY) {
		var lX4, lY4, lX8, lY8, lResult;
		lX8 = (lX & 0x80000000);
		lY8 = (lY & 0x80000000);
		lX4 = (lX & 0x40000000);
		lY4 = (lY & 0x40000000);
		lResult = (lX & 0x3FFFFFFF) + (lY & 0x3FFFFFFF);
		if (lX4 & lY4) return (lResult ^ 0x80000000 ^ lX8 ^ lY8);
		if (lX4 | lY4) {
			if (lResult & 0x40000000) return (lResult ^ 0xC0000000 ^ lX8 ^ lY8);
			else return (lResult ^ 0x40000000 ^ lX8 ^ lY8);
		} else {
			return (lResult ^ lX8 ^ lY8);
		}
	}
	var F = function(x, y, z) {
		return (x & y) | ((~ x) & z);
	}
	var G = function(x, y, z) {
		return (x & z) | (y & (~ z));
	}
	var H = function(x, y, z) {
		return (x ^ y ^ z);
	}
	var I = function(x, y, z) {
		return (y ^ (x | (~ z)));
	}
	var FF = function(a, b, c, d, x, s, ac) {
		a = addUnsigned(a, addUnsigned(addUnsigned(F(b, c, d), x), ac));
		return addUnsigned(rotateLeft(a, s), b);
	};
	var GG = function(a, b, c, d, x, s, ac) {
		a = addUnsigned(a, addUnsigned(addUnsigned(G(b, c, d), x), ac));
		return addUnsigned(rotateLeft(a, s), b);
	};
	var HH = function(a, b, c, d, x, s, ac) {
		a = addUnsigned(a, addUnsigned(addUnsigned(H(b, c, d), x), ac));
		return addUnsigned(rotateLeft(a, s), b);
	};
	var II = function(a, b, c, d, x, s, ac) {
		a = addUnsigned(a, addUnsigned(addUnsigned(I(b, c, d), x), ac));
		return addUnsigned(rotateLeft(a, s), b);
	};
	var convertToWordArray = function(string) {
		var lWordCount;
		var lMessageLength = string.length;
		var lNumberOfWordsTempOne = lMessageLength + 8;
		var lNumberOfWordsTempTwo = (lNumberOfWordsTempOne - (lNumberOfWordsTempOne % 64)) / 64;
		var lNumberOfWords = (lNumberOfWordsTempTwo + 1) * 16;
		var lWordArray = Array(lNumberOfWords - 1);
		var lBytePosition = 0;
		var lByteCount = 0;
		while (lByteCount < lMessageLength) {
			lWordCount = (lByteCount - (lByteCount % 4)) / 4;
			lBytePosition = (lByteCount % 4) * 8;
			lWordArray[lWordCount] = (lWordArray[lWordCount] | (string.charCodeAt(lByteCount) << lBytePosition));
			lByteCount++;
		}
		lWordCount = (lByteCount - (lByteCount % 4)) / 4;
		lBytePosition = (lByteCount % 4) * 8;
		lWordArray[lWordCount] = lWordArray[lWordCount] | (0x80 << lBytePosition);
		lWordArray[lNumberOfWords - 2] = lMessageLength << 3;
		lWordArray[lNumberOfWords - 1] = lMessageLength >>> 29;
		return lWordArray;
	};
	var wordToHex = function(lValue) {
		var WordToHexValue = "", WordToHexValueTemp = "", lByte, lCount;
		for (lCount = 0; lCount <= 3; lCount++) {
			lByte = (lValue >>> (lCount * 8)) & 255;
			WordToHexValueTemp = "0" + lByte.toString(16);
			WordToHexValue = WordToHexValue + WordToHexValueTemp.substr(WordToHexValueTemp.length - 2, 2);
		}
		return WordToHexValue;
	};
	var uTF8Encode = function(string) {
		string = string.toString().replace(new RegExp(/\x0d\x0a/, "g"), "\x0a");
		var output = "";
		for (var n = 0; n < string.length; n++) {
			var c = string.charCodeAt(n);
			if (c < 128) {
				output += String.fromCharCode(c);
			} else if ((c > 127) && (c < 2048)) {
				output += String.fromCharCode((c >> 6) | 192);
				output += String.fromCharCode((c & 63) | 128);
			} else {
				output += String.fromCharCode((c >> 12) | 224);
				output += String.fromCharCode(((c >> 6) & 63) | 128);
				output += String.fromCharCode((c & 63) | 128);
			}
		}
		return output;
	};
	$.extend({
		md5: function(string) {
			var x = Array();
			var k, AA, BB, CC, DD, a, b, c, d;
			var S11=7, S12=12, S13=17, S14=22;
			var S21=5, S22=9 , S23=14, S24=20;
			var S31=4, S32=11, S33=16, S34=23;
			var S41=6, S42=10, S43=15, S44=21;
			string = uTF8Encode(string);
			x = convertToWordArray(string);
			a = 0x67452301; b = 0xEFCDAB89; c = 0x98BADCFE; d = 0x10325476;
			for (k = 0; k < x.length; k += 16) {
				AA = a; BB = b; CC = c; DD = d;
				a = FF(a, b, c, d, x[k+0],  S11, 0xD76AA478);
				d = FF(d, a, b, c, x[k+1],  S12, 0xE8C7B756);
				c = FF(c, d, a, b, x[k+2],  S13, 0x242070DB);
				b = FF(b, c, d, a, x[k+3],  S14, 0xC1BDCEEE);
				a = FF(a, b, c, d, x[k+4],  S11, 0xF57C0FAF);
				d = FF(d, a, b, c, x[k+5],  S12, 0x4787C62A);
				c = FF(c, d, a, b, x[k+6],  S13, 0xA8304613);
				b = FF(b, c, d, a, x[k+7],  S14, 0xFD469501);
				a = FF(a, b, c, d, x[k+8],  S11, 0x698098D8);
				d = FF(d, a, b, c, x[k+9],  S12, 0x8B44F7AF);
				c = FF(c, d, a, b, x[k+10], S13, 0xFFFF5BB1);
				b = FF(b, c, d, a, x[k+11], S14, 0x895CD7BE);
				a = FF(a, b, c, d, x[k+12], S11, 0x6B901122);
				d = FF(d, a, b, c, x[k+13], S12, 0xFD987193);
				c = FF(c, d, a, b, x[k+14], S13, 0xA679438E);
				b = FF(b, c, d, a, x[k+15], S14, 0x49B40821);
				a = GG(a, b, c, d, x[k+1],  S21, 0xF61E2562);
				d = GG(d, a, b, c, x[k+6],  S22, 0xC040B340);
				c = GG(c, d, a, b, x[k+11], S23, 0x265E5A51);
				b = GG(b, c, d, a, x[k+0],  S24, 0xE9B6C7AA);
				a = GG(a, b, c, d, x[k+5],  S21, 0xD62F105D);
				d = GG(d, a, b, c, x[k+10], S22, 0x2441453);
				c = GG(c, d, a, b, x[k+15], S23, 0xD8A1E681);
				b = GG(b, c, d, a, x[k+4],  S24, 0xE7D3FBC8);
				a = GG(a, b, c, d, x[k+9],  S21, 0x21E1CDE6);
				d = GG(d, a, b, c, x[k+14], S22, 0xC33707D6);
				c = GG(c, d, a, b, x[k+3],  S23, 0xF4D50D87);
				b = GG(b, c, d, a, x[k+8],  S24, 0x455A14ED);
				a = GG(a, b, c, d, x[k+13], S21, 0xA9E3E905);
				d = GG(d, a, b, c, x[k+2],  S22, 0xFCEFA3F8);
				c = GG(c, d, a, b, x[k+7],  S23, 0x676F02D9);
				b = GG(b, c, d, a, x[k+12], S24, 0x8D2A4C8A);
				a = HH(a, b, c, d, x[k+5],  S31, 0xFFFA3942);
				d = HH(d, a, b, c, x[k+8],  S32, 0x8771F681);
				c = HH(c, d, a, b, x[k+11], S33, 0x6D9D6122);
				b = HH(b, c, d, a, x[k+14], S34, 0xFDE5380C);
				a = HH(a, b, c, d, x[k+1],  S31, 0xA4BEEA44);
				d = HH(d, a, b, c, x[k+4],  S32, 0x4BDECFA9);
				c = HH(c, d, a, b, x[k+7],  S33, 0xF6BB4B60);
				b = HH(b, c, d, a, x[k+10], S34, 0xBEBFBC70);
				a = HH(a, b, c, d, x[k+13], S31, 0x289B7EC6);
				d = HH(d, a, b, c, x[k+0],  S32, 0xEAA127FA);
				c = HH(c, d, a, b, x[k+3],  S33, 0xD4EF3085);
				b = HH(b, c, d, a, x[k+6],  S34, 0x4881D05);
				a = HH(a, b, c, d, x[k+9],  S31, 0xD9D4D039);
				d = HH(d, a, b, c, x[k+12], S32, 0xE6DB99E5);
				c = HH(c, d, a, b, x[k+15], S33, 0x1FA27CF8);
				b = HH(b, c, d, a, x[k+2],  S34, 0xC4AC5665);
				a = II(a, b, c, d, x[k+0],  S41, 0xF4292244);
				d = II(d, a, b, c, x[k+7],  S42, 0x432AFF97);
				c = II(c, d, a, b, x[k+14], S43, 0xAB9423A7);
				b = II(b, c, d, a, x[k+5],  S44, 0xFC93A039);
				a = II(a, b, c, d, x[k+12], S41, 0x655B59C3);
				d = II(d, a, b, c, x[k+3],  S42, 0x8F0CCC92);
				c = II(c, d, a, b, x[k+10], S43, 0xFFEFF47D);
				b = II(b, c, d, a, x[k+1],  S44, 0x85845DD1);
				a = II(a, b, c, d, x[k+8],  S41, 0x6FA87E4F);
				d = II(d, a, b, c, x[k+15], S42, 0xFE2CE6E0);
				c = II(c, d, a, b, x[k+6],  S43, 0xA3014314);
				b = II(b, c, d, a, x[k+13], S44, 0x4E0811A1);
				a = II(a, b, c, d, x[k+4],  S41, 0xF7537E82);
				d = II(d, a, b, c, x[k+11], S42, 0xBD3AF235);
				c = II(c, d, a, b, x[k+2],  S43, 0x2AD7D2BB);
				b = II(b, c, d, a, x[k+9],  S44, 0xEB86D391);
				a = addUnsigned(a, AA);
				b = addUnsigned(b, BB);
				c = addUnsigned(c, CC);
				d = addUnsigned(d, DD);
			}
			var tempValue = wordToHex(a) + wordToHex(b) + wordToHex(c) + wordToHex(d);
			return tempValue.toLowerCase();
		}
	});
})(jQuery);

然后在需要加密的地方调用$.md5()即可,如下:

var info = 'The important info!';
info = $.md5(info);

2. SHA1加密

var hexcase = 0; /* 十六进制输出格式。0 -小写;1 -大写 */  
var b64pad = ""; /* base- 64填充字符。“=”表示严格的RFC合规性 */  
var chrsz = 8; /* 每个输入字符的位数。8 - ASCII;16 -统一码 */  
function hex_sha1(s) {  
    return binb2hex(core_sha1(str2binb(s), s.length * chrsz));  
}  
  
function b64_sha1(s) {  
    return binb2b64(core_sha1(str2binb(s), s.length * chrsz));  
}  
  
function str_sha1(s) {  
    return binb2str(core_sha1(str2binb(s), s.length * chrsz));  
}  
  
function hex_hmac_sha1(key, data) {  
    return binb2hex(core_hmac_sha1(key, data));  
}  
  
function b64_hmac_sha1(key, data) {  
    return binb2b64(core_hmac_sha1(key, data));  
}  
  
function str_hmac_sha1(key, data) {  
    return binb2str(core_hmac_sha1(key, data));  
}  
function sha1_vm_test() {  
    return hex_sha1("abc") == "a9993e364706816aba3e25717850c26c9cd0d89d";  
}  
function core_sha1(x, len) {  
    x[len >> 5] |= 0x80 << (24 - len % 32);  
    x[((len + 64 >> 9) << 4) + 15] = len;  
  
    var w = Array(80);  
    var a = 1732584193;  
    var b = -271733879;  
    var c = -1732584194;  
    var d = 271733878;  
    var e = -1009589776;  
  
    for (var i = 0; i < x.length; i += 16) {  
        var olda = a;  
        var oldb = b;  
        var oldc = c;  
        var oldd = d;  
        var olde = e;  
  
        for (var j = 0; j < 80; j++) {  
            if (j < 16) w[j] = x[i + j];  
            else w[j] = rol(w[j - 3] ^ w[j - 8] ^ w[j - 14] ^ w[j - 16], 1);  
            var t = safe_add(safe_add(rol(a, 5), sha1_ft(j, b, c, d)), safe_add(safe_add(e, w[j]), sha1_kt(j)));  
            e = d;  
            d = c;  
            c = rol(b, 30);  
            b = a;  
            a = t;  
        }  
  
        a = safe_add(a, olda);  
        b = safe_add(b, oldb);  
        c = safe_add(c, oldc);  
        d = safe_add(d, oldd);  
        e = safe_add(e, olde);  
    }  
    return Array(a, b, c, d, e);  
  
}  
function sha1_ft(t, b, c, d) {  
    if (t < 20) return (b & c) | ((~b) & d);  
    if (t < 40) return b ^ c ^ d;  
    if (t < 60) return (b & c) | (b & d) | (c & d);  
    return b ^ c ^ d;  
}  
function sha1_kt(t) {  
    return (t < 20) ? 1518500249 : (t < 40) ? 1859775393 : (t < 60) ? -1894007588 : -899497514;  
}  
function core_hmac_sha1(key, data) {  
    var bkey = str2binb(key);  
    if (bkey.length > 16) bkey = core_sha1(bkey, key.length * chrsz);  
  
    var ipad = Array(16),  
        opad = Array(16);  
    for (var i = 0; i < 16; i++) {  
        ipad[i] = bkey[i] ^ 0x36363636;  
        opad[i] = bkey[i] ^ 0x5C5C5C5C;  
    }  
  
    var hash = core_sha1(ipad.concat(str2binb(data)), 512 + data.length * chrsz);  
    return core_sha1(opad.concat(hash), 512 + 160);  
}  
function safe_add(x, y) {  
    var lsw = (x & 0xFFFF) + (y & 0xFFFF);  
    var msw = (x >> 16) + (y >> 16) + (lsw >> 16);  
    return (msw << 16) | (lsw & 0xFFFF);  
}  
function rol(num, cnt) {  
    return (num << cnt) | (num >>> (32 - cnt));  
}  
function str2binb(str) {  
    var bin = Array();  
    var mask = (1 << chrsz) - 1;  
    for (var i = 0; i < str.length * chrsz; i += chrsz)  
    bin[i >> 5] |= (str.charCodeAt(i / chrsz) & mask) << (24 - i % 32);  
    return bin;  
}  
function binb2str(bin) {  
    var str = "";  
    var mask = (1 << chrsz) - 1;  
    for (var i = 0; i < bin.length * 32; i += chrsz)  
    str += String.fromCharCode((bin[i >> 5] >>> (24 - i % 32)) & mask);  
    return str;  
}  
function binb2hex(binarray) {  
    var hex_tab = hexcase ? "0123456789ABCDEF" : "0123456789abcdef";  
    var str = "";  
    for (var i = 0; i < binarray.length * 4; i++) {  
        str += hex_tab.charAt((binarray[i >> 2] >> ((3 - i % 4) * 8 + 4)) & 0xF) + hex_tab.charAt((binarray[i >> 2] >> ((3 - i % 4) * 8)) & 0xF);  
    }  
    return str;  
}  
function binb2b64(binarray) {  
    var tab = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";  
    var str = "";  
    for (var i = 0; i < binarray.length * 4; i += 3) {  
        var triplet = (((binarray[i >> 2] >> 8 * (3 - i % 4)) & 0xFF) << 16) | (((binarray[i + 1 >> 2] >> 8 * (3 - (i + 1) % 4)) & 0xFF) << 8) | ((binarray[i + 2 >> 2] >> 8 * (3 - (i + 2) % 4)) & 0xFF);  
        for (var j = 0; j < 4; j++) {  
            if (i * 8 + j * 6 > binarray.length * 32) str += b64pad;  
            else str += tab.charAt((triplet >> 6 * (3 - j)) & 0x3F);  
        }  
    }  
    return str;  
}

然后在需要加密的地方调用$.md5()即可,如下:

var info = 'The important info!';
info = hex_sha1(info);

参考:js的常见的三种密码加密方式-MD5加密、Base64加密和解密和sha1加密详解总结

追逐吾之所求
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring(tomcat)前后端数据加密传输demo
04-22
3. **数据加密**: 数据加密保护信息安全的重要手段,它可以将明文数据转换为密文,防止数据在传输过程中被窃取或篡改。在这个项目中,可能使用了HTTPS协议,它基于SSL/TLS协议,可以对网络通信进行加密。 4. **...
安全测试之传输层保护不足
小太阳~
02-01 2647
一、传输层保护不足的概念在身份验证过程中没有使用SSL/TLS或者使用SSL/TLS不正确,因此暴露传输数据和会话ID,被攻击者截听。它们有时还会使用过期或者配置不正确的证书。二、传输层保护不足的后果传输层保护不足,会暴露传输的数据,导致数据被窃听,账号被盗等,如果是管理员的账号面临这个问题,那么将会导致整个网站处于数据暴露的状态,将对网站和用户造成严重的甚至无法挽回的损失。三、传输层保护不足防御
安全漏洞问题2:传输层保护不足
weixin_34128839的博客
11-21 1414
安全漏洞问题2:传输层保护不足1.1. 漏洞描述WEB应用程序在进行数据传输时,可能会选择HTTP或者HTTPS。对于前者,在传输的过程中,对传输数据并未做保护。在传输过程中,传输数据有可能被恶意用户截获、篡改。对于未使用SSL/TSL保护传输通道,我们称之为传输层保护不足。注:此漏洞对太保内部应用不做强制要求,仅要求应用系统在用户密码传输过程中保证密...
IBM Security Appscan漏洞--已解密的登录请求
YouXu
03-16 9187
可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 验证请求为登录请求并且不是通过 SSL 发送的请求。 一般 1. 确保所有登录请求都以加密方式发送到服务器。 2. 请确保敏感信息,例如:- 用户名 - 密码 - 社会保险号码 - 信用卡号码 - 驾照号码 - 电子邮件地址 - 电话号码 - 邮政编码 一律以加密方式传给服务器
安全扫描漏洞解决
球球的博客
05-24 7409
Appscan漏洞已解密的登录请求 该漏洞,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息; 整改方案: 1.对于用户名和密码等敏感信息,字段名匿名, 字段内容行非对公私钥加密处理; 2.采用post请求; 3.启用https协议; SQL注入漏洞 在系统部分url处存在该漏洞,该漏洞可能会查看、修改或删除数据库条目和表; 整改方案: 1.请求参数进行过滤一些非法的...
致远OA漏洞分析、利用与防护合集
不忘初心,护天下安全!
06-21 3788
致远OA办公自动化软件, 用于OA办公自动化软件的开发销售,由用友致远互联旗下协同管理软件系统,在国内很多央企、大型公司都有广泛应用。致远互联基于“组织行为管理”理论,自主研发了V5协同管理平台,开发了面向中小企业组织的A6+产品,面向中大型企业和集团性企业组织的A8+产品,以及面向政府组织及事业单位的G6产品 。致远OA存在任意文件下载漏洞,攻击者可利用该漏洞下载任意文件,获取敏感信息app="致远互联-OA"验证POC 在存在漏洞的OA 系统将会下载 datasourceCtp.properties
电信设备-基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法.zip
09-18
"基于WEB安全网关的服务器指纹拟态和敏感信息拟态方法"是一种先进的网络安全策略,它旨在保护服务器免受攻击者通过指纹识别和窃取敏感信息的威胁。以下是对这个主题的详细解释: 1. **服务器指纹识别**:服务器指纹...
Windows WEB服务器配置安全规范
05-27
Windows WEB服务器配置安全规范旨在提供一套详尽的指导原则和步骤,以降低被攻击的风险,保护服务器免受恶意软件、黑客入侵以及数据泄露等威胁。以下是一些核心的配置安全要点: 1. **操作系统安全更新**:始终保持...
基于openssl的安全web服务器开发通信工程专业论文.doc
09-18
Web服务器开发中,安全性的核心在于数据的加密传输和身份验证。OpenSSL提供了SSL/TLS协议,用于在客户端和服务器之间建立安全连接。SSL/TLS协议包括握手过程,其中涉及以下几个关键步骤: 1. **握手协议**:...
软考信息安全工程师知识17.pdf
05-12
- **TCP/IP协议栈**:TCP/IP模型是互联网通信的基础,包括应用层、传输层、网络层和数据链路层。了解各层的主要协议如HTTP、TCP、IP、ARP等对于理解网络通信至关重要。 - **DNS(域名系统)**:DNS是将域名转换为...
AppScan扫描建议
热门推荐
沉底的石头
09-10 3万+
1.1        AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [
Security Appscan Standard 漏洞扫描及补漏洞
YouXu
03-03 4773
IBM Security Appscan 介绍 IBM Security AppScan 在应用程序开发的生命周期过程中提供安全测试, AppScan 扫描很多常规的漏洞,比如跨站脚本攻击(cross site cripting),HTTP 响应分割(HTTP response splitting),参数篡改(Parameter Tampering)等等。
一种绕过AppScan未加密漏洞的简单方法(附代码)
qq_42000667的博客
11-14 1641
本人描述了一种如何在http下实现password等confidential信息传输,并能绕过appscan未加密漏洞报告的简单方法,并附与代码。
web应用存在的10大安全问题
zhusongziye的博客
11-04 9248
 1 在web应用程序中是什么导致安全性问题呢?一般有以下几个原因 1、复杂应用系统代码量大、开发人员多、难免出现疏忽 2、系统屡次升级、人员频繁变更,导致代码不一致 3、历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上 4、开发人员未经过安全编码培训或者公司根本就没有统一的安全编码规范 5、测试人员经验不足或者没经过专业的安全评估测试就发布上线 6、没有对用户的输入进行验证: ...
公共代码之密码加解密
程序员Monkey的专栏
09-04 1223
在项目中,我们还会让密码使用定义的加密技术,下面就是我们常用的SHA密码加密算法,实例代码如下: // Decompiled by DJ v3.7.7.81 Copyright 2004 Atanas Neshkov Date: 2007-7-21 11:55:00 AM // Home Page : http://members.fortunecity.com/neshkov/dj.htm
常见的web漏洞及其防范
Mini_小仙女的博客
09-11 889
十大常见web漏洞 一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下,SQL注入的位置包括: (1)表单提交,主要是POST请求,也包括GET请求; (2)URL参数提交,主要
2.4 传输层安全威胁
The 44th Demilitarized Zone
11-21 5524
传输层处于通信子网和资源子网之间起着承上启下的作用。传输层也支持多种安全服务:对等实体认证服务;访问控制服务;数据保密服务;数据完整性服务;数据源点认证服务。传输层控制主机间传输的数据流。传输层存在两个协议——传输控制协议(TCP)和用户数据报协议(UDP)传输控制协议(TCP)TCP是一个面向连接的协议,两台计算机通信,必须通过握手和信息交换。TCP保证了可靠的传输。一旦一个连接建立
Web中的安全性问题
zhoxing
03-14 2899
根据2010年OWASP发布的Web应用程序安全风险主要是SQL注入攻击、跨网站脚本、伪造客户端请求、Cookie盗取,传输层保护不足。  1 SQL注入攻击    随着B/S框架结构在系统开发中的广泛应用,恶意攻击者利用SQL命令在Web表单中输入合法的字符或查询字符串来欺骗服务器执行SQL命令。当注入攻击得逞后,Web程序将泄露大量用户隐私数据和数据库中数据结构。攻击者能够获得系统较高的访
浅谈传输层
baidu_37964044的博客
07-23 312
上篇博客讲解了应用层协议,本篇接着讲传输层。 一  传输层:负责数据能从发送端到接收端      在TCP/IP协议中用源端口号,源ip,目的端口号,目的ip ,协议号这样一个五元祖来表示一个通信 (用netstat-n查看) 二  端口号:标识了一个主机上进行通信的不同的应用程序      端口号划分:0-1023知名端口号   1024-65535操作系统动态分配的端口号      ...
如何分别在网络层、传输 层和应用层实现 Web 安全,各有什么优缺点?
最新发布
06-10
Web安全可以从网络层、传输层和应用层三个层次来实现,各有不同的优缺点。 1. 网络层安全 网络层安全主要通过防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术来实现。网络层安全的优点是可以对整个网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值