cowbin2012的专栏

整个Web网站，从用户浏览器到后端数据库，要经历很多个环节，各个环节都有可能被黑客有机可乘，所以，要对每一个环节都做好防护。 首先，在代码开发时，要多多注意是否可能存在SQL注入、水平权限漏洞、垂直权限漏洞、XSS漏洞等。尽量避免在应用层被攻击。其次就是那些容易被忽略的环节，如数据库、Web服务器和人。 数据库安全防护 IP白名单 只给需要访问数据库的webserver机器授权IP地址...

概念 XSS全称为Cross Site Script，即跨站点脚本攻击，XSS攻击是最为普遍且中招率最多的web攻击方式，一般攻击者通过在网页恶意植入攻击脚本来篡改网页，在用户浏览网页时就能执行恶意的操作，像html、css、img都有可能被攻击。 像前不久微信貌似就中招，好像是在朋友圈发送一个带有脚本的链接，然后通过点击该链接就会弹出一个提示，虽然没有造成什么影响，但这是XSS攻击最鲜明的特...

概念 SQL注入即通过WEB表单域插入非法SQL命令，当服务器端构造SQL时采用拼接形式，非法SQL与正常SQL一并构造并在数据库中执行。 简单的SQL注入的例子： 例1：test123456 or 1=1; 加上or 1=1，如果没有防止SQL注入，这样攻击者就能成功登录。 例2：test123456’;drop table xxx– 这样会删除一个表，–后面的就是注释 防御手段 1、禁...

概念 CSRF全称即Cross Site Request forgery，跨站点请求伪造，攻击者通过跨站点进行伪造用户的请求进行合法的非法操作，其攻击手法是通过窃取用户cookie或服务器session获取用户身份，在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。 防御手段 既然是跨站点攻击，所以防御的手段无非是识别请求的来源是否合法。 防御的手段一般有： 1、检查referer...

之前的文章介绍了常见的XSS攻击、SQL注入、CSRF攻击等攻击方式和防御手段，没有看的去翻看之前的文章，这些都是针对代码或系统本身发生的攻击，另外还有一些攻击方式发生在网络层或者潜在的攻击漏洞在这里也总结一下。 DOS/DDOS攻击 DOS攻击不是说攻击DOS系统，或者通过DOS系统攻击。 DOS攻击全称为Denial of service，即拒绝服务，其主要攻击目的是使计算机硬件或网络宽带...

什么是会话固定攻击？ 会话固定攻击（session fixation attack）是利用应用系统在服务器的会话ID固定不变机制，借助他人用相同的会话ID获取认证和授权，然后利用该会话ID劫持他人的会话以成功冒充他人，造成会话固定攻击。 看下面Session Fixation攻击的一个简单例子： 整个攻击流程是： 1、攻击者Attacker能正常访问该应用网站； 2、应用网站服务器返回一个会话I...

常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 XSS漏洞 1.XSS简介 跨站脚本（cross site script）简称为XSS，是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去，使...

一个多月前，我的个人网站遭受 DDOS 攻击，下线了50多个小时。这篇文章就来谈谈，如何应对这种攻击。 需要说明的是，我对 DDOS 并不精通，从没想过自己会成为攻击目标。攻击发生以后，很多素昧平生的朋友提供了各种帮助和建议，让我学到了很多东西。这里记录的就是对我最有帮助的一些解决方案。 一、DDOS 是什么？ 首先，我来解释一下，DDOS 是什么。 举例来说，我开了一家餐厅，正常情况下，最多可...

XSS XSS攻击的全称是跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表 (Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,是WEB应用程序中最常见到的攻击手段之一。跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序, 当用户打开该网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端cookie、 盗取用户名密码、下...