cherry的专栏

注入攻击        注入攻击是web安全领域中最常见的一种攻击方式。注入攻击的本质就是把用户输入的数据当作代码执行，主要的两个关键条件：第一是用户能够控制输入，第二是原本程序要执行的代码拼接了用户输入的数据。在注入中，常见的就是SQL，下面我们来看看SQL注入的一些方法、技巧以及防御。        SQL注入        请看一个典型的SQL注入例子：        var

1、检查变量数据类型和格式 如果你的SQL语句是类似where id={$id}这种形式，数据库里所有的id都是数字，那么就应该在SQL被执行前，检查确保变量id是int类型；如果是接受邮箱，那就应该检查并严格确保变量一定是邮箱的格式，其他的类型比如日期、时间等也是一个道理。总结起来：只要是有固定格式的变量，在SQL语句执行前，应该严格按照固定格式去检查，确保变量是我们预想的格式，这样很大程

XSS攻击        XSS攻击类似于SQL注入攻击，攻击之前，我们先找到一个存在XSS漏洞的网站，XSS漏洞分为两种，一种是DOM Based XSS漏洞，另一种是Stored XSS漏洞。理论上，所有可输入的地方没有对输入数据进行处理的话，都会存在XSS漏洞，漏洞的危害取决于攻击代码的威力，攻击代码也不局限于script。 DOM Based XSS        DOM

最近，国内开始流行另一种流氓行为：使用框架（Frame），将你的网页嵌入它的网页中。 比如，有一家网站号称自己是"口碑聚合门户"，提供全国各个网上论坛的精华内容。但是，其实它就是用框架抓取他人的网页，然后在上面加上自己的广告和站标，这同盗版书商有何不同？！ 不明内情的访问者，只看到地址栏是该门户的URL，不知道真正内容部分的网页，其实来自另一个网站。 为什么我反对这种做法？

时间2015年的某个周六凌晨5点，公司官方的QQ群有用户反馈官网打不开了，但有的用户反馈可以打开，客服爬起来自己用电脑试了一下没有问题，就给客户反馈说，可能是自己网络的问题，请过会在试试。早点8点，越来越多的用户反馈官网无法打开，并且有部分用户开发反馈app也打不开了，客服打电话叫起了还在梦乡中的我。 分析定位 被客服叫起来之后，一脸懵逼，不知道什么情况，给客服回复，知道了，立刻排查，