【web前后端漏洞分析与防御】
关注
分享
扫一扫
文章平均质量分 66
空默寒
这个作者很懒,什么都没留下…
展开
-
web前后端漏洞分析与防御(一)-XSS
所谓的安全,其实是指两个方面私密性:不被非法获取和利用(Get) 代码层面 架构层面 运维层面 问题 用户身份被盗用 用户密码泄露 用户资料被盗取 网站数据库泄露 其他 可靠性:不丢失不损坏不被篡改跨站脚本攻击XSS(Cross Site Scripting)跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意...原创 2018-07-29 10:26:27 · 1344 阅读 · 0 评论 -
web前后端漏洞分析与防御(二)-CSRF
跨站请求伪造攻击CSRF(Cross Site Request Forgy)SRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统...原创 2018-07-29 10:28:48 · 530 阅读 · 0 评论 -
web前后端漏洞分析与防御(三)-点击劫持,传输安全
点击劫持,clickjacking,也被称为UI-覆盖攻击。 防止点击劫持JavaScript禁止内嵌 没有带frame的页面 带frame的页面 不过H5新增属性,sandbox可以金庸脚本的运行sandbox="allow-forms"X-FRAME-OPTIONS禁止内嵌头设置ctx.set('X-F...原创 2018-07-29 10:31:11 · 842 阅读 · 0 评论 -
web前后端漏洞分析与防御(四)-密码安全
需求:NodeJS->接入层->密码管理,加密密码作用 信息摘要算法(哈希算法)这种函数是一种摘要算法,你给他输入一个任意长的数据A他给你返回固定长度的数据B,也称B为“指纹”。明文 -> 密文 雪崩效应(密码混乱) 不可逆性 密文固定长度 md5 sha1 sha256md5单向变换 密码传输安全性(明文)前端加密只能...原创 2018-07-29 10:32:46 · 859 阅读 · 0 评论 -
web前后端漏洞分析与防御(五)-接入层sql注入
一、什么是sql注入?1、什么是sql注入呢? 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。...转载 2018-07-29 10:41:07 · 854 阅读 · 0 评论