漏洞利用与安全加固
前言
Web1.0时代——静态页面:html或者htm,是一种静态的页面格式,不需要服务器解析其中的脚本,由浏览器如解析。
Web2.0时代——动态页面:asp、aspx、php、jsp等,由相应的脚本引擎来解释执行,根据指令生成静态网页,在前端使用脚本程序增强交互。
Web业务平台的不安全性主要是由Web平台的特点,即开放性所致。
根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。
根据世界上权威的Web安全与数据库安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和XSS跨站脚本攻击。
软件都是人写的,人都会犯错或考虑问题不周的,越大的系统越容易有漏洞。
客户端与服务器的典型交互过程:
一、SQL注入
由于程序中对用户输入检查不严格,用户可利用应用程序根据提交的数据动态生成SQL命令的特性,在URL、表单域,或者其他的输入域中输入自己的SQL命令,改变SQL命令的操作,将被修改的SQL命令注入到后端数