漏洞利用与安全加固
Web安全
-web时代
- 信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。
- 目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和XSS跨站脚本攻击。
- 越大的系统越容易有漏洞
- 0.01%安全问题等于100%的失败
SQL注入
- 改变SQL命令的操作,将被修改的SQL命令注入到后端数据库引擎执行
- 内联式
- 终止式
攻击者注入一段包含注释符的SQL语句,将原来的语句的一部分注释,注释掉的部分语句不会被执行。
XSS跨站
- 反射型跨站通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起
- 存储型XSS漏洞广泛出现在允许Web用户自定义显示信息及允许Web用户上传文件信息的Web应用程序中,大部分的Web应用程序都属于此类。