web开发安全
2024-06-20 11:35:12 0 举报AI智能生成
web开发安全
作者其他创作
大纲/内容
CSRF
描述
CSRF(Cross-site request forgery),跨站请求伪造。攻击者盗用了你的身份,以你的名义发送恶意请求。
页面传值
url参数传递
session
cookie
form表单
防御
对需要传递的参数进行签名验证(参数按照一定规则生产MD5签名)
验证码
在请求地址中添加token并验证
XSS
描述
跨站脚本(Cross-Site-Scripting)简称 XSS,利用网站漏洞执行用户提交的恶意js脚本以达到攻击网站的目的。
分类
反射型:
把用户输入的数据 “反射” 给浏览器(回显),也叫作 “非存储型”
DOM型:
通过修改页面DOM节点来形成XSS攻击。
存储型:
把用户输入的数据 “存储”到服务器,然后通过客户端读取服务器数据并且显示。
危害
Cookie劫持(窃取cookie)
XSS蠕虫(利用漏洞进行传播)
修改用户数据
防御
HttpOnly
输入检查
格式检查:检查用户输入的信息是否满足格式要求
特殊字符检查:检查用户输入的信息是否包含<、>、‘、“、<script>
输出检查
根据实际情况选择innerHTML、$(#id).html()和innerText,$(#id).text
sql注入
描述
利用应用程序中通过字符串拼接方式构造SQL语句来将恶意的SQL命令注入到后端数据库引擎执行。
防御
参数的合法性进行校验
转义特殊字符
Mysql绑定变量
宽字节注入
0 条评论
下一页
为你推荐
查看更多
