渗透测试面试基础知识
一,SQL注入的原理和防御机制
-
原理:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,达到欺骗服务器执行恶意的SQL命令
-
防御机制:
1.对用户输入的数据类型做严格限制
2.使用预编译绑定变量的SQL语句
3.过滤特殊字符
4.数据库信息加密,使用数据库防火墙,web防火墙
二,XSS注入的原理和防御机制
- 原理:恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其中Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。
XSS与CSRF的区别:
- XSS是获取信息,不需要提前知道其他用户页面的代码和数据包。CSRF是代替用户完成指定的动作,需要知道其他用户页面的代码和数据包。
- 要完成一次CSRF攻击,受害者必须依次完成两个步骤:
-
1.登录受信任网站A,并在本地生成Cookie。
-
2.在不登出A的情况下,访问危险网站B。
-