安全技巧 学会检查SQL注入式攻击漏洞

 保障Web站点和应用程序的安全,免受SQL注入攻击涉及到三部分内容;此外,在检查SQL 注入式攻击和其它攻击技术时,你需要牢记在心的基本原则。

  保障Web站点和应用程序的安全,免受SQL注入攻击涉及到三部分内容:

  1.通过彻底审核Web站点和Web应用程序的SQL注入式攻击和其它形式的攻击漏洞来分析目前的安全状态。

  2.确保你使用最佳的编码方法,来保证WEB应用程序和IT架构所有其它部分的安全性。

  3.在你向Web组件添加了内容以及做出改变后,能够定期地执行Web安全的审核。

  此外,在检查SQL 注入式攻击和其它攻击技术时,你需要牢记在心的基本原则是这样的:“WEB站点的哪一部分可以被我们认为是安全的,而实际上却向攻击者敞开了大门?”,以及“我们可以向一个应用程序提交哪些数据可以使其执行一些它不应当进行的操作?”

  检查SQL注入攻击漏洞涉及到审核你的We站点和Web应用程序。手动进行漏洞审核复杂而且耗时。它还要求具备较高水平的专业技术和跟踪大量代码和黑客的最新伎俩的能力

  检查你的web站点和应用程序是否易于受到SQL注入式攻击的最佳方法是通过运用一个自动化的和启发式的Web漏洞扫描程序。

  一个自动化的Web漏洞扫描程序可以进入你的整个Web站点并且可以自动地检查SQL注入式攻击。它会指示出哪些URL及脚本易于受到SQL注入式攻击,从而便于你立即修正其相关代码。除了可以扫描SQL注入式漏洞,一个Web应用程序扫描工具还应当检查跨站脚本攻击和其它的Web漏洞。

  签名匹配与SQL注入式攻击的启发式扫描

  虽然许多组织理解自动化和定期web审核的需要,但很少有哪一个会真正扫描其Web应用程序。一种一般的错误理解是这些定制的Web应用程序不易受到黑客攻击。这就引起了更多的“这绝不可能发生在我身上”现象和Web站点的所有者们对其开发人员的过多信心。

  一项对谷歌新闻网页的搜索返回了240个关于“SQL注入式攻击”(在笔者写作时)的匹配。Secunia 和SecuObs每天报告许多已知Web应用程序的漏洞。不过,被攻击的定制应用程序很少被媒体提及。

  定制的Web应用程序有可能是最易于受到攻击的并且无疑地会吸引最多数量的黑客,理解这一点是至关重要的,因为黑客们知道这种应用程序并没有通过严格的测试和现货供应产品的质量保证过程。

  这也意味着仅通过一个基于签名的扫描程序来扫描一个定制的Web应用程序并不能将某漏洞确认为SQL注入式攻击和任何其它的攻击技术。

  建立并测试已知应用程序漏洞的特征数据库是很不够的。这是一种被动审核,因为它只能涉及到现有的应用程序,并没有发现针对新黑客攻击技术的任何漏洞。另外,在一个黑客对你的定制的Web应用程序发动SQL注入式攻击时,签名匹配的作用就很少了。黑客攻击并非基于签名文件的测试,黑客们知道已知的应用程序、系统和服务器等正由各自的厂商进行更新并可以保障其始终如一的安全性。定制的应用程序可以成为公认的“蜜罐”!

  仅有少部分产品采用了强健而具有启发性的技术来确认真实的威胁。真正的自动化Web漏洞扫描几乎完全依赖你的站点如何建立其结构以及各种各样的部件和链接,还有扫描程序聪明地利用各种各样的攻击方式和技术来针对Web应用程序的能力。

  仅仅检测已知应用程序的已知漏洞是收效甚微。在检测漏洞时需要涉及大量的启发性技术,因为黑客们是极具有创造力的,它们会针对预定的Web应用程序发动其攻击,以便于创造最大的影响。

转载于:https://www.cnblogs.com/Longkin/articles/1215540.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
目标检测(Object Detection)是计算机视觉领域的一个核心问题,其主要任务是找出图像中所有感兴趣的目标(物体),并确定它们的类别和位置。以下是对目标检测的详细阐述: 一、基本概念 目标检测的任务是解决“在哪里?是什么?”的问题,即定位出图像中目标的位置并识别出目标的类别。由于各类物体具有不同的外观、形状和姿态,加上成像时光照、遮挡等因素的干扰,目标检测一直是计算机视觉领域最具挑战性的任务之一。 二、核心问题 目标检测涉及以下几个核心问题: 分类问题:判断图像中的目标属于哪个类别。 定位问题:确定目标在图像中的具体位置。 大小问题:目标可能具有不同的大小。 形状问题:目标可能具有不同的形状。 三、算法分类 基于深度学习的目标检测算法主要分为两大类: Two-stage算法:先进行区域生成(Region Proposal),生成有可能包含待检物体的预选框(Region Proposal),再通过卷积神经网络进行样本分类。常见的Two-stage算法包括R-CNN、Fast R-CNN、Faster R-CNN等。 One-stage算法:不用生成区域提议,直接在网络中提取特征来预测物体分类和位置。常见的One-stage算法包括YOLO系列(YOLOv1、YOLOv2、YOLOv3、YOLOv4、YOLOv5等)、SSD和RetinaNet等。 四、算法原理 以YOLO系列为例,YOLO将目标检测视为回归问题,将输入图像一次性划分为多个区域,直接在输出层预测边界框和类别概率。YOLO采用卷积网络来提取特征,使用全连接层来得到预测值。其网络结构通常包含多个卷积层和全连接层,通过卷积层提取图像特征,通过全连接层输出预测结果。 五、应用领域 目标检测技术已经广泛应用于各个领域,为人们的生活带来了极大的便利。以下是一些主要的应用领域: 安全监控:在商场、银行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值