摘要:是代替用戶完成指定的動作,需要知道其他用戶頁面的代碼和數(shù)據(jù)包。
常見web安全及防護原理
sql注入原理
就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串�,最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令
總的來說有以下幾點
永遠不要信任用戶的輸入,要對用戶的輸入進行校驗�,可以通過正則表達式,或限制長度���,對單引號和雙"-"進行轉(zhuǎn)換等
永遠不要使用動態(tài)拼裝SQL�,可以使用參數(shù)化的SQL或者直接使用存儲過程進行數(shù)據(jù)查詢存取
永遠不要使用管理員權(quán)限的數(shù)據(jù)庫連接����,為每個應(yīng)用使用多帶帶的權(quán)限有限的數(shù)據(jù)庫連接
不要把機密信息明文存放,請加密或者hash掉密碼和敏感的信息
XSS原理及防范
Xss(cross-site scripting)攻擊指的是攻擊者往Web頁面里插入惡意html標簽或者javascript代碼���。比如:攻擊者在論壇中放一個看似安全的鏈接����,騙取用戶點擊后�����,竊取cookie中的用戶私密信息�����;或者攻擊者在論壇中加一個惡意表單,當用戶提交表單的時候�����,卻把信息傳送到攻擊者的服務(wù)器中�,而不是用戶原本以為的信任站點
XSS防范方法
首先代碼里對用戶輸入的地方和變量都需要仔細檢查長度和對”<”,”>”,”;”,”’”等字符做過濾;其次任何內(nèi)容寫到頁面之前都必須加以encode����,避免不小心把html tag 弄出來。這一個層面做好��,至少可以堵住超過一半的XSS 攻擊
XSS與CSRF有什么區(qū)別嗎�����?
XSS是獲取信息����,不需要提前知道其他用戶頁面的代碼和數(shù)據(jù)包。CSRF是代替用戶完成指定的動作����,需要知道其他用戶頁面的代碼和數(shù)據(jù)包�。要完成一次CSRF攻擊,受害者必須依次完成兩個步驟
登錄受信任網(wǎng)站A,并在本地生成Cookie
在不登出A的情況下��,訪問危險網(wǎng)站B
CSRF的防御
服務(wù)端的CSRF方式方法很多樣����,但總的思想都是一致的,就是在客戶端頁面增加偽隨機數(shù)
通過驗證碼的方法
是否了解 Web 注入攻擊(最常見 XSS 和 CSRF)�?
SQL注入
把SQL命令插入到表單或輸入URL查詢字符串提交,欺騙服務(wù)器達到執(zhí)行惡意的SQL目的
XSS(Cross Site Script)�,跨站腳本攻擊
攻擊者在頁面里插入惡意代碼,當用戶瀏覽該頁之時�����,執(zhí)行嵌入的惡意代碼達到攻擊目的
CSRF(Cross Site Request Forgery)���,跨站點偽造請求
偽造合法請求�,讓用戶在不知情的情況下以登錄的身份訪問�,利用用戶信任達到攻擊目的
如何防范 Web 前端攻擊?
不要信任任何外部傳入的數(shù)據(jù)
針對用戶輸入作相關(guān)的格式檢查�����、過濾等操作
不要信任在任何傳入的第三方數(shù)據(jù)
使用 CORS�����,設(shè)置 Access-Control-Allow-Origin
更安全地使用 Cookie
設(shè)置Cookie為HttpOnly,禁止了JavaScript操作Cookie
防止網(wǎng)頁被其他網(wǎng)站內(nèi)嵌為iframe
服務(wù)器端設(shè)置 X-Frame-Options 響應(yīng)頭��,防止頁面被內(nèi)嵌
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/52130.html
