安全
一、Web攻击手段
Web攻击手段 | 原理 | 防范 |
---|---|---|
XSS攻击 | 在输入框里输入脚本程序,恶意攻击用户 | 对用户输入的数据进行HTML转义处理 |
CRSF攻击 | 用户C登录了受信任站点A,在本地产生Cookie;用户C在没有登出(清除站点A的cookie)站点A的情况下,访问恶意站点B;恶意站点B获取cookie,访问站点A,以用户C的身份进行操作 | 将cookie设置为HttpOnly;增加token;通过refer识别 |
SQL注入攻击 | 把SQL命令伪装成正常的HTTP请求参数,传递到服务器,欺骗服务器最终执行恶意的SQL命令 | 使用预编译语句;使用ORM框架;避免密码明文存放;处理好相应异常 |
文件上传漏洞 | 上传可执行的文件或脚本,通过脚本获得服务器上相应的权利 | 对上传的文件类型进行白名单校验,限制上传文件的大小,对上传的文件进行重命名 |
DDos攻击 | 借助公共网络,将数量庞大的计算机设备联合起来作为攻击平台,对一个或多个目标进行攻击,从而达到瘫痪目标主机的目的 |
二、安全算法
类型 | 内容 |
---|---|
数字摘要 | MD5,SHA,Hash算法 |
对称加密算法 | DES算法 |