- 博客(3)
- 资源 (5)
- 收藏
- 关注
RSS订阅转载 OWASP TOP 10漏洞及防范
A1 注入 InjectionWeb安全头号大敌。注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等中出现。SQL注入实例防范:1.使用安全的API,避免使用解释器或提供参数化的接口(...
2019-06-19 15:16:15
2764
转载 跨站脚本攻击(XSS) 漏洞原理及防御方法
XSS跨站脚本攻击:两种情况。一种通过外部输入然后直接在浏览器端触发,即反射型XSS;还有一种则是先把利用代码保存在数据库或文件中,当web程序读取利用代码并输出在页面上时触发漏洞,即存储型XSS。DOM型XSS是一种特殊的反射型XSS。危害:前端页面能做的事它都能做。(不仅仅盗取cookie、修改页面等)1、 挖掘经验XSS挖掘的关键在于寻找有没有被过滤的参数,且这些参数传入到输出函数...
2019-06-19 14:40:40
3100
转载 SQL 注入防御方法总结
SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injectionSQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。1. 演示下经典的SQL注入我们看到:select i...
2019-06-19 14:04:15
8333
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人