1)xss跨站攻击技术:主要是攻击者往网页里嵌入恶意脚本,或者通过改变html元素属性来实现攻击,主要原因在于开发者对用户的变量直接使用导致进入html中会被直接编译成js,通常的get请求通过url来传参,可以在url中传入恶意脚本,从而获取信息,解决方法:特殊字符过滤。
2)sql注入攻击:主要是就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
比如select * from test where username="wuxu" or 1=1,这样会使用户跳过密码直接登录,具体解决方案:
1、特殊字符过滤,不要用拼接字符串的方法来凑sql语句。
2、对sql语句进行预编译,比如java的preparedstatement。
3、关闭错误信息,攻击者可能会通过不断的尝试来得到数据库的一些信息,所以关闭错误信息变得重要起来。
4、客户端对数据进行加密,使原来传进来的参数因为加密而被过滤掉。
5、控制数据库的权限,比如只能select,不能insert,防止攻击者通过select * from test ;drop tables这种操作
3)os命令注入攻击:系统提供命令执行类函数主要方便处理相关应用场景的功能.而当不合理的使用这类函数,同时调用的变量未考虑安全因素,就会执行恶意的命令调用,被攻击利用。主要原因是服务端在调用系统命令时采用的是字符串连接的方式,比如a=“a.txt;rm -rf *”,system(“rm -rf {$a}”),这会给服务端带去惨痛的代价,具体解决 方案:1、在程序开发时少用系统命令,执行命令的参数尽量不要从外部获取。2、参数特殊字符过滤
4)http首部注入攻击:HTTP协议本身并不存在安全性问题,应用HTTP协议的服务器和客户端以及运行在服务器上的Web应用等资源才是攻击的目标。
241
06-06
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
