postpass 常见的网络攻击 – 个人博客

常见的网络攻击

1、XSS

原理:攻击者往Web页面里插入恶意 html标签或者javascript代码

防范方法:

检测用户输入,过滤或者转义特殊字符

提交采用post少采用get

避免直接在cookie 中泄露用户隐私

2、CSRF

原理:CSRF 中文名为跨站请求伪造。原理就是攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用户是在登录状态下的话,后端就以为是用户在操作,从而进行相应的逻辑。

防范方法:

同源策略

添加token

3、sql注入

就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双”-“进行转换等。

2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息。

标签

发表评论