Web安全总结

SQL注入

原理:

利用Web应用对后台数据库查询语句处理存在的安全漏洞,攻击者提交一段精心构造的数据库查询代码,根据返回的结果,获得他想得知的数据
受影响的系统:对输入参数不进行检查和过滤的系统

常见的SQL注入过程:
1.修改参数值等数据,被修改的数据注入到SQL语句中
2.数据库引擎执行被修改的SQL命令,将结果返回
3.根据返回的敏感信息构造语句进行进一步注入

在这里插入图片描述
例:
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

跨站脚本攻击(XSS)

原理:
Web服务器没有对用户输入进行有效性验证,而又轻易返回给客户端
攻击者往Web页面里插入恶意html代码,当用户浏览该网页时,嵌入其中的恶意代码被执行

危害:
可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告,查看主机信息等

在这里插入图片描述
攻击步骤:
1.寻找漏洞
2.注入恶意代码
3.欺骗用户访问

在这里插入图片描述
在这里插入图片描述

跨站请求伪造(CSRF)

原理:
目标网站A,恶意网站B
在这里插入图片描述

在这里插入图片描述

文件包含漏洞

在这里插入图片描述
当使用这4个函数包含一个新的文件时,该文件将作为php代码执行,php内核并不会在意该被包含文件的类型

验证码技术

用于人机区分,是防御http攻击的一种手段

在这里插入图片描述

总结

客户端和服务器面临的威胁:
在这里插入图片描述

防御Web攻击:

服务器:
1.简单性,最好把不必要的服务卸掉
2.使用超级用户需谨慎
3.本地和远程访问控制
4.审计,在审计记录中查找可疑数据
5.备份策略,方便快速恢复服务以减少损失

客户端:
1.对浏览器的安全性进行设置,使用漏洞数较少的浏览器,经常对浏览器进行升级
2.经常对操作系统打补丁、升级
3.尽量不打开一些不信任的网站

同源策略:
在这里插入图片描述
在这里插入图片描述

  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江南无故人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值