金融信息安全
第4章 漏洞利用与安全加固
web业务平台的不安全性主要是由web平台的特点,即开放性所致。
目前对web业务系统威胁最严重的两种攻击方式是SQL注入攻击跟XSS跨站脚本攻击。
SQL注入:由于程序中对用户输入检查不严格,用户可利用应用程序根据提交的数据动态生成SQL命令的特征,在URL、表单域,或者其他的输入域中输入自己的SQL命令,改变SQL命令的操作,将被修改的SQL命令注入到后端数据库引擎执行。
SQL注入分为内联式和终止式。
XSS跨站分为反射型和存储型。
反射型跨站通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。
存储型XSS漏洞广泛出现在允许Web用户自定义显示信息及允许Web用户上传文件信息的Web应用程序中,大部分的Web应用程序都属于此类。
上传漏洞的攻击条件:目标网站具有上传功能且木马能够正常上传;上传的目标文件能够被Web服务器解析执行;知道文件上传到服务器后的存放路径和文件名称;目标文件可被用户访问。
总结:通过今天的实训,我们了解web安全存在的相应问题,并且了解怎样去对存在的漏洞进行安全加固。实训中进行密码绕过登录、命令注入、跨站请求伪造、上传木马、注入SQL、跨站攻击等操作,因为知道怎么利用漏洞,才能进行更好的安全加固,从这些漏洞我们找到解决的办法,SQL注入防范、XSS跨站防范、上传攻击防范等操作,进行安全加固,使网站更加安全、可靠。
701
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
