java防护webshell_2019-11-7:sql注入防御,webshell概念,学习笔记

sql注入防护

GPC,magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误

magic_quotes_runtime,当它打开时,php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。

使用具有过滤功能的函数和类

addslashes函数

musql [real] escape_string函数

intval字符转换

设计输入验证和处理策略

比如 使用waf

领域驱动,将数据和代码分开,限制对原始数据的访问

编码输出,对输入的查询进行正确的编码防止使用单引号或其他字符来修改查询

webshell

网站后门==webshell==服务器的权限,就是apache,nginx,iis,tomcat等webserver服务器的权限,权限较低

shell不仅仅是命令解析器的意思,在攻击者眼里还表示一种权限,webshell就是web服务器的权限

webshell以及其管理工具

网页木马就是webshell,其类型主要由网站后台支持的解析语言决定的,wheshell分类,一句话,小马,大马

一句话,,代码小,功能少,不易被管理员发现,很容易被查杀工具发现,通常需要变形和管理工具配合使用

小马:代码量比一句话多,功能较多,提交中等,容易被杀软查杀,可以变形绕过

大马:代码量大,体积大,主要和一句话配合使用,一般容易被发现,可以变形,无文件化,比如编码,远程接入,等

web中间件,web容器,web服务器概念和区别

web中间件,处于系统软件和应用软件之间,为各个部件提供沟通桥梁,这就是中间件,常见的中间件有,apache,tomcat,weblogic,websphere等

web容器,给某些应用程序组建提供一个运行的环境,是中间件的一部分,能够实现对动态语言的解析,常见的web容器有,jsp容器,asp容器,servlet容器

web服务器,提供http服务,能够处理用户的request请求,并做出响应,常用的web服务器有,apache,iis,nginx

web中间件和web服务器有重叠部分,因为某些web中间件又具备提供web服务的功能

中国菜刀:具备的功能有文件管理,虚拟中断,数据库管理,爬虫扫描

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值