跨站脚本攻击:
也称为XSS,指利用网站漏洞从用户那里恶意盗取信息。
XSS三种类型:反射型、存储型、DOM
从攻击原理可以看出,跨站脚本最终是在用户的浏览器运行,因此可以关闭或设置cookie为只读,提高浏览器的安全等级设置,尽量使用非IE的安全浏览器降低危险
攻击流程:
攻击者:得到敏感攻击—>获取用户权限—>以被攻击者身份执行
SQL注入:
指利用Web应用程序输入验证不完善的漏洞,将一段精心构造的SQL命令注入到数据库引擎执行 。
防范措施:
1、使用类型安全的参数编码机制
2、对来自于程序外部的用户输入必须进行完备的检查
3、将动态SQL语句替换为存储过程,预编译SQL或ADO命令对象
4、加强SQL数据库服务器的配置与连接,以最小权限配置原则配置Web应用程序连接数据库的操作权限。
CSRF: 跨站域请求伪造
客户端:
服务端:
设备端:
社会工程学攻击:
攻击形式:信息收集、心理诱导、身份伪造、施加影响
扫一扫
3291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
