绣花针

目录一、简介二、案例三、防范一、简介Cross-Site Scripting（跨站脚本攻击）简称 XSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID 等，进而危害数据安全。为了和 CSS 区分，这里把攻击的第一个字母改成了 X，于是叫做 XSS。XSS...

目录一、简介二、案例三、防范1.CSRF Token验证2.人机交互一、简介跨站点请求伪造（Cross-Site Request Forgery），CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，如恶意发帖、修改密码、发邮件等，达到攻击目的。CSRF有别于XSS，...

目录一、黑客二、安全（CIA原则）1.保密性2.完整性3.可用性一、黑客黑客的音译词，译自Hacker。黑客的攻击手段十分多样，大体可分为非破坏性攻击和破坏性攻击。非破坏性攻击一般是为了扰乱系统的运行，使之暂时失去正常对外提供服务的能力，比如DDos攻击等。破坏性的攻击主要会造成两种后果：系统数据受损或信息被窃取，比如CSRF攻击等。黑客使用的攻击手段有病毒式、洪水式、...

目录一、DDos简介二、攻击方式三、被攻击时特点一、DDos简介分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代...

目录一、简介二、案例1.案例1（SQL恶意填入）2.案例2（危险字符注入）三、预防1.过滤特殊字符2.严格使用参数绑定3.合理使用框架防注入机制一、简介SQL注入是注入式攻击中的常见类型。SQL注入式攻击是未将代码与数据进行严格的隔离，导致在读取数据库数据的时候，错误地把数据作为代码的一部分执行，导致攻击者可以通过sql灵活多变的语法，构造精心巧妙的语句...