一、xss(跨站脚本攻击)允许攻击者将恶意代码植入到提供给其它用户使用的页面中
XSS
攻击的两大要素:
- 攻击者提交而恶意代码
- 浏览器执行恶意代码
xss的预防:
1.过滤掉用户输入的恶劣代码
2.尽量避免使用innerHTML,document.write() 插入到页面
二、CSRF(跨站请求伪造):攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求
CSRF的特点
- 攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生
- 攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据
- 整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”
- 跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪
CSRF的预防
1.阻止不明外域的访问
2提交时要求附加本域才能获取的信息
三、SQL注入
流程如下所示:
-
找出SQL漏洞的注入点
-
判断数据库的类型以及版本
-
猜解用户名和密码
-
利用工具查找Web后台管理入口
-
入侵和破坏
预防方式如下:
- 严格检查输入变量的类型和格式
- 过滤和转义特殊字符
- 对访问数据库的Web应用程序采用Web应用防火墙