13306647218

                公司動態

                Company dynamics

                需要掌握的一些關于網站安全的問題

                作者:藍夢seo專業企業網站優化時間:2020-07-13 13:37:10

                程序員需要掌握基本的Web安全知識,然后才能發生。您知道有多少個網絡安全漏洞?可能希望在這里列出10個項目,您可以轉到網站上找到相應的教程,以提高自身水平1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客戶端腳本攻擊(Script Insertion)4、跨網站腳本攻擊(Cross Site Scripting, XSS)5、SQL注入攻擊(SQL injection)6、跨網站請求偽造攻擊(Cross Site Request Forgeries, CSRF)7、Session 會話劫持(Session Hijacking)8 Session 會話固定(Sessionfixation)9、HTTP響應拆分攻擊(HTTP Response Splitting)020 -66

                本文主要介紹三個最常遇到的問題:XXS,CSRF,SQL注入。10、文件上傳漏洞(File Upload Attack)一、XSS漏洞XSS(跨站點腳本攻擊)是指跨站點腳本攻擊,縮寫為XSS,以便與CSS(層疊樣式表)區分開。攻擊者主要使用跨站點腳本來讀取Cookie或網站用戶的其他個人數據。一旦攻擊者獲得了這些數據,他就可以假裝用戶已登錄網站并獲得了用戶的權限。簡介1.攻擊者以某種方式將xss http鏈接發送給目標用戶。2.目標用戶登錄網站并打開攻擊者在登錄過程中發送的xss鏈接。 3.網站執行了該xss攻擊腳本。4.目標用戶的頁面跳至攻擊者的網站,攻擊者獲得了目標用戶的信息。5.攻擊者使用目標用戶的信息登錄了該網站,以完成該攻擊的目的。攻擊2.跨站點腳本攻擊的一般步驟1.盜竊用戶信息,例如登錄帳戶,網上銀行帳戶等。2.使用用戶的身份讀取,篡改,添加,刪除敏感的公司數據等。3.盜竊重要的商業價值數據4.非法轉移5.強行發送電子郵件6.網站掛馬7,控制受害者的機器來發起其他網站的攻擊

                3. XSS攻擊的危險1)XSS的根本原因是客戶端提交的數據未完全過濾,因此重點在于過濾用戶提交的信息。 2)將重要的cookie標記為僅http,因此js中的語句將不會獲取cookie。 3)僅允許用戶輸入我們期望的數據。例如:age僅允許用戶輸入數字,數字外的字符被過濾掉。 4)數據的HTML編碼:當用戶提交數據時,它是HTML編碼的,并且在進行下一步處理之前,相應的符號將轉換為實體名稱。 5)過濾或刪除特殊的HTML標簽,例如:腳本,iframe,用于,用于6)過濾js事件的標簽。例如,“ onclick=”,“ onfocus”等。4.防止XSS解決方案二、CSRF攻擊(跨站點請求偽造)CSRF(跨站點請求偽造),表示跨站點請求偽造,也被編寫為XSRF。攻擊者偽造了目標用戶的HTTP請求,然后將該請求發送到具有CSRF漏洞的網站。網站執行此請求后,將觸發跨站點請求偽造攻擊。攻擊者使用隱蔽的HTTP連接,使目標用戶無需關注即可單擊鏈接。由于用戶自己單擊鏈接,并且他是具有法律許可的合法用戶,因此目標用戶可以在網站內執行特定的HTTP。鏈接達到攻擊者的目的。簡介主要危害來自攻擊者竊取用戶身份并發送惡意請求。例如:模擬用戶行為以發送電子郵件,發送消息并保護諸如付款和轉賬之類的財產。 例如,當某個購物網站購買商品時,item參數用于確定要購買的商品,而num參數用于確定要購買的數量。該數字變為1,000。攻擊的危害1)POST用于接收重要的數據交互。當然,POST不是萬能藥。偽造的形式可能會破裂。 2)使用驗證碼。每當涉及數據交互時,請首先驗證驗證碼。這種方法可以完全解決CSRF。但是,出于用戶體驗的考慮,網站無法向所有操作添加驗證碼。因此,驗證碼只能用作輔助方法,而不能用作主要解決方案。 3)驗證HTTP Referer字段,該字段記錄HTTP請求的源地址。最常見的應用是圖片安全性。 4)為每個表格添加令牌并進行驗證。3.防止CSRF的解決方案三、SQL注入攻擊(SQL injection)所謂的SQL注入攻擊,即當某些程序員編寫代碼時,他們沒有判斷用戶輸入數據的合法性,這使應用程序具有潛在的安全風險。用戶可以提交一段數據庫查詢代碼,并根據程序返回的結果獲取一些他想知道的數據。 SQL注入攻擊是指攻擊者以某種形式提交精心構建的SQL語句并更改原始SQL語句的攻擊者。如果Web應用程序不檢查提交的數據,將導致SQL注入攻擊。1 SQL注入1)攻擊者訪問帶有SQL注入漏洞的站點并尋找注入點2)攻擊者構造注入語句,并將注入語句與SQL語句結合在程序中以生成新的SQL語句3)新的將SQL語句提交給數據庫進行處理4)數據庫執行新的SQL語句,從而導致SQL注入攻擊2 SQL注入攻擊的一般步驟:通常,SQL注入的位置包括:1)表單提交,主要是POST請求,包括GET請求; 2)URL參數提交,主要是GET請求參數; 3)提交cookie參數; 4)HTTP請求標頭中的一些可修改值,例如Referer,User_Agent等;3 防止SQL注入的方式對于一個簡單的示例,從id=100的用戶中選擇*,代表ID為100的用戶信息。如果id=100成為id=100或2=2,則sql將變為:從id=100的用戶中選擇*或2=2,這將查詢所有用戶表信息。這是典型的sql注入。4.舉例1)驗證用戶輸入并使用正則表達式過濾傳入的參數2)使用參數化語句而不是拼接SQL,還可以使用安全存儲過程3)在使用數據庫連接時,不要對每個應用程序使用管理員特權數據庫連接權限限制4)檢查數據存儲類型5)重要信息必須加密

                以上是本文的全部內容,希望對大家的學習有所幫助,也希望您支持php自學中心5.防止SQL注入的解決方案

                女人18毛片水真多免费看