常见Web站点安全性问题

最新推荐文章于 2024-07-03 16:58:59 发布
最新推荐文章于 2024-07-03 16:58:59 发布
阅读量1k 收藏
点赞数 1
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuochuyu7096/article/details/88074646
版权

SQL注入

介绍

  • SQL注入为常见的网站攻击方式,其攻击原理主要是在站点执行SQL语句时,传入非法参数

例子

https://keyu.site?page=1

其中page是传入的参数,page的值为1,在服务器进行处理时,可能会将page的值写入SQL中,比如:
select * from post where page=1
这样就完成了一次查找操作,并返回我们想要的值

但是若是进行非法操作比如

https://keyu.site?page=1;drop table post–

那么最后SQL就变为
select * from post where page=1;drop table post--

情况糟糕了,我们的数据库可能就面临着被删除的危险,并且可能被执行任何操作

解决方案

  • 验证输入(不常用)
  • PreparedStatement(简单有效)
    在传入参数时用占位符代替
    select * from post where page=?
    在这种情况下,以前攻击后的SQL就变为
    select * from post where page='1;drop table post--'

CSRF跨站请求伪造

介绍

  • 恶意的人可能会使用JavaScript脚本或者其他渠道,在客户端截取你的Cookie,并且伪造它,你的信息就被这样窃取了

解决方案

  • 利用Http的HttpOnly属性,限制非Http的API访问
  • HttpOnly并不能防止对网络频道具有访问权限的攻击者直接访问该Cookie。针对这种情况,应考虑使用安全套结字层(SSL)来提供帮助

跨站脚本攻击(XSS)

介绍

  • 特别是在允许客户上传的站点,比如评论区,假如客户输入
这是一条评论
<script>
alert("XSS");
</script>

当你要在网页展示这段文字时,就会马上弹出XSS的对话框,若是客户输入更加恶意的脚本,情况可能会更加糟糕。

解决方案

  • 对容易引起漏洞的XSS漏洞的字符转义过滤或者拦截

拖库安全

介绍

  • 这算是最后一道防线了,不法分子已经将你的站点的所有数据库内容给导出了,我们应该怎样才能尽可能地保证数据安全呢
  • 有很多站点被拖库后,将用户的密码也暴露出去,自己受损害,还连累了在这里注册的用户。

解决方案

  • 在数据库不要采用明文的密码,而是将密码进行加密然后再存入数据库中
  • 常用的加密方式,为单向的MD5加密,密码只要不够常见,几乎不会被破解,我们也可以给密码加盐,让其更加难以攻破。
Keyu_
关注
专栏目录
shell脚本监控web站点目录下的文件安全性
01-20
"shell脚本监控web站点目录下的文件安全性"是一种常见的实践,通过自动化脚本来定期检查和验证Web服务器上文件的状态,以防止未经授权的修改或入侵。以下是这个话题的一些详细知识点: 1. **监控Web站点目录文件...
Web开发实用技术Web站点规划设计性能优化及安全性.ppt
11-12
安全性Web站点不可忽视的方面,需要关注在安装IIS6.0或SQL SERVER等服务器时的安全问题,包括设置安全配置、定期更新补丁、使用防火墙和入侵检测系统等。在开发Web站点程序时,应遵循安全编码规范,防止SQL注入、...
三种常见Web安全问题
weixin_30797199的博客
01-15 298
XSS漏洞 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 2.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐号等...
谈谈网站安全性问题
weixin_33853827的博客
08-22 160
博客已转移:网站安全   刚入职没多长时间,网站一直有人上传***,基本网站一直处在被人***的状态,纠结阿。一直忙着解决这问题了。今天好不容易有些成就,就拿出来和大家分享一下,如果大家有什么好的方法,可以教教我.这两天为了这事儿头疼死了.   网站现在大体的情况是dede+smarty开发的博客系统+dz,百度和谷歌的权重都在5左右,所以访问量还是比较大的。   dede公认的漏洞比较多,而且接...
有哪些常见web安全问题总结
最新发布
m0_66326520的博客
07-03 981
SSL证书由浏览器中受信任的根证书颁发机构在验证服务器身份后颁发,具有网站身份验证和加密传输双重功能。
web常见安全问题
snowball的博客
12-21 1184
对进入数据库的特殊字符(',",,,&,*,;我们保证所有生成的链接都是来自于我们可信域的,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用,但是如果功能本身要求比较开放,可能导致有一定的限制。CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见web攻击,它利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法的操作。也就是说,通过命令注入攻击可执行操作系统上安装着的各种程序。
常见web 安全问题总结
LinkSLA的博客
08-05 412
今天给大家介绍一下,Web安全领域常见的一些安全问题
web软件常见安全问题(个人总结)
My Process Tracking
08-08 1687
1、SQL injection例如:post提交时有个url:http://www.xxx.com/news.asp?id=1SQL语句为:select * from news where id=1改造成:http://www.xxx.com/news.asp?id=1 and 1=(select count(*) from admin where left(name,1)=a)则SQL变
Web开发实用技术Web站点规划设计、性能优化及安全性.pptx
10-11
Web站点安全性安全性Web站点不可忽视的部分。在IIS6.0服务器上,需要关注安全配置,防止恶意攻击;SQL Server服务器的安全性管理涉及到数据库权限控制、备份恢复策略以及安全补丁的及时更新;在开发Web程序时...
web站点崩溃的原因大全
10-01
磁盘空间不足是导致Web站点崩溃最常见的原因之一。随着Web应用的日志记录、文件存储等功能的不断使用,磁盘空间很容易被填满。特别是对于那些没有及时清理日志文件和其他临时文件的服务器来说,这一问题更为突出。 ...
Web常见安全问题
javagty6778的博客
02-22 273
可以保证通信双方传输数据的安全,这种方式避免服务器向客户端传输时数据泄露的现象,因为此时使用了不同的加密方法,但可恶的中间人依然有方法发起攻击,流程是。对称加密里最重要的是让通信双方都获得密钥,但这里密钥使用明文传输,密钥传输时就可能被中间人截获,最终造成数据泄露,有中间人攻击的流程是。传输的特点是明文传输,那在传输过程中传输信息可能会被黑客截获,重要的数据如用户名、密码就会泄露,这显然是不安全的。攻击(巨量请求)时,网站的服务器因其带宽和资源有限,无法处理这些需要响应的请求,导致服务器崩溃停止运作。
常见WEB安全问题
kiku
03-20 1061
第一种常见的安全问题钓鱼 “Phishing” 假如我们是一条鱼,有一天我们看到天上掉下一个馅饼。很傻很天真的我们一口就把馅饼给吞了,然后我们就上钩了,然后就没有然后了。同样的在网络世界也有人在进行网络钓鱼,而大部分的网民的角色通常不是渔夫,而是天真的傻鱼。 接下来看一下一个案例,在这里收到一份邮件发生了几次异常的登录,需要我们进行一个密码的更新,那么我们就按照要求进行点击,这时候呢,我们跳到了一...
Web常见安全问题分析
学习分享平台
08-25 444
Web常见安全问题分析 1. 替换默认的404、500错误页面提示; 统一错误页面 默认的错误页面有可能会暴露Tomcat、Nginx、MySQL版本等信息,可能会导致黑客针对你的特定环境版本找特定的漏洞来攻击你,避免方式就是拦截异常页面,信息,重定向到自定义错误页面中;在网页中尽量不暴露特定的服务端内部软件版本号。 SpringBoot 使用自定义错误页面 2. 上传文件要加前、后台双重验证; 上传文件时,加上类型校验,比如docx、doc或者pdf,避免将所有的文件一股脑上传。因为某些文件可能
web常见六大安全问题
couch potato的博客
06-26 375
常见安全问题 xss csrf 点击劫持 URL跳转漏洞 SQL注入 OS命令注入攻击 一、xss 跨站脚本攻击 原理:往web页面插入可执行的网页脚本代码 防御方式: 1、设置白名单csp 方式一:设置HTTP Header中的Content-Security-Policy 方式二:设置meta标签 Content-Security-Policy: default-src “self” // 只允许加载本站资源 Content-Security-Policy: img-src https:/
常见Web安全问题记录与总结
大熊弋
03-08 1090
XSS  XSS (Cross Site Script),跨站脚本攻击。  XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。XSS 的攻击方式千变万化,但还是可以大致细分为几种类型。 DOM xss : 不需要服务器解析响应的直接参与,触发XSS靠的是浏
常见Web安全问题及防御策略
LuHai3005151872的博客
12-09 602
安全世界观一词是《白帽子讲Web安全》一书的开篇章节,多年后再读经典,仍然受益匪浅! 正如开篇所说的:“互联网本来是安全的,自从有了研究安全的人,互联网就不安全了。” 世上没有攻不破的系统,只有还没攻破的系统,有多少条路可以通罗马,大概就有多少种攻克之道。
常见Web安全问题以及解决方案
SlagSea
12-26 6302
       在常见web系统中,最常见的几种安全问题有:SQL注入,XSS漏洞,CSRF攻击(跨站点请求伪造)。 1.        SQL注入:SQL注入之所以存在,主要是因为工程师将外部的输入直接嵌入到将要执行的SQL语句中了。黑客可以利用这一点执行SQL指令来达到自己目的。例如:  $sql = 'select * from user where id ='.$id;     ...
常见web安全问题及防御
cynwang的博客
09-02 2197
sql注入原理 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 总的来说有以下几点: 1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限
配置IIS:IP与域名限制及Web站点安全
这种方式使得管理员能够精细化地控制哪些设备可以访问网站,提高了安全性。 WWW服务,即万维网服务,是互联网上广泛使用的图形化页面展示服务。常见的WWW服务软件在Windows系统中是IIS(Internet Information ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值