web前端的安全:
1 跨站脚本攻击(XSS攻击)
(1)盗取cookie信息,注入恶意的script代码
(2)输入过滤,比如 用户的邮箱格式过滤等2 跨站请求伪造(CSRF攻击)
本地保存的cookie,伪造访问不同域的网站,我们的解决方法有以下几种:
(1) 验证码
(2)Anti CSRF Token (以参数的形式加入一个随机产生的token,即长的字符串)- 3跨站请求伪造(CSRF攻击)
(1)SQL注入攻击(攻击者将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.)
mysql_real_escape()函数或addslashes()函数进行输入参数的转义。
- 3跨站请求伪造(CSRF攻击)
4 文件上传漏洞
上传漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。该漏洞允许用户上传任意文件可能会让攻击者注入危险内容或恶意代码,并在服务器上运行。 文件上传漏洞的原理:由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP 解释器,就可以在远程服务器上执行任意PHP脚本。
解决方案:
(1)检查服务器是否判断了上传文件类型及后缀。
(2) 定义上传文件类型白名单,即只允许白名单里面类型的文件上传。
(3) 文件上传目录禁止执行脚本解析,避免攻击者进行二次攻击。 Info漏洞 Info漏洞就是CGI把输入的参数原样输出到页面,攻击者通过修改输入参数而达到欺骗用户的目的。
848
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
