网络安全
lang20150928
stay hungry stay foolish
展开
-
HTTPS
HTTPS 的全称是 HTTP over SSL 简单的理解就是在之前的HTTP传输上增加了SSL协议的加密能力 说到对网络传输数据的加密,必须要先说安全套接字层(Secure Socket Layer,SSL).SSL协议工作于传输层和应用层之间,为应用提供数据的加密传输。 通过对称加密算法对数据进行加密,比如DES,即在一个主站和用户之间可以使用相同的密钥对传输内容进行加解密。是否可以认为这样...原创 2020-03-21 17:35:58 · 91 阅读 · 0 评论 -
SQL注入
SQL注入原理:未将代码与数据隔离,数据作为代码被执行 如何预防: 过滤用户输入参数中的特殊字符,从而降低被SQL注入的风险 禁止通过字符串拼接的SQL语句,严格使用参数绑定传入的SQL参数 合理使用数据库访问框架提供的防注入机制 比如MyBatis提供的#{}绑定参数,从而防止SQL注入,同时谨慎使用${},${}相当于使用字符串拼接SQL 拒绝拼接是SQL语句,使用参数化的语句 ...原创 2020-03-21 16:40:29 · 115 阅读 · 0 评论 -
XSS与CSRF
XSS : 跨站脚本攻击, 即Cross-Site Scripting,为了不和前端CSS混淆,简称为XSS. 指黑客通过技术手段,向正常用户请求的HTML页面中插入恶意脚本,从而可以执行任意脚本。 主要用于信息窃取、破坏等目的。 比如 2011年 微博XSS蠕虫攻击事件,攻击这利用微博发布功能中未对action-data漏洞做有效的过滤,在发布微博信息的时后带上了包含攻击脚本的URL.用户访问...原创 2020-03-21 16:35:20 · 93 阅读 · 0 评论