数据安全
关注
分享
扫一扫
数据安全
鹤啸九天-西木
天行健,男儿当自强不息;地势坤,君子以厚德载物。
展开
-
XSS攻击与防御
一、概念: XSS:跨站脚本攻击(英文全称:Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中,比如HTML代码和客户端脚本如Javascript中。从效果和稳定...原创 2019-08-13 00:37:25 · 306 阅读 · 0 评论 -
SQL注入攻击与防御
一、概念: SQL注入:针对程序本身的逻辑,输入一些特别的字符串,构造出符合SQL语法的SQL语句,使该SQL语句能执行出本不希望的结果,达到攻击服务器的目的。按输入参数的类型,注入方式可分为:数字型注入和字符型注入。不管是数字型注入还是字符型注入,都是程序本来期望输入的一个参数对应的是一个查询条件,但恶意攻击者通过构造字符串,将一个参数中包含了多个查询条件甚至多条语句,最终构造...原创 2019-08-28 01:00:40 · 841 阅读 · 0 评论 -
CRLF注入攻击与防御
一、概念: CRLF的概念源自打字机,表明行的结束,转译字符是\r\n,计算机出现后沿用了这个概念。 CR:回车符的MCS字符,转译字符是\r,ASCII码十进制是13,ASCII码十六进制是0D; LF:换行符的MCS字符,转译字符是\n,ASCII码十进制是10,ASCII码十六进制是0A; 回车符可以让光标移到当前行的开...原创 2019-08-28 17:50:16 · 4170 阅读 · 0 评论 -
CSRF攻击与防御
一、概念: CSRF:也叫XSRF(英文Cross-site request forgery),中文名是跨站请求伪造,也被称为One Click Attack或者Session Riding。CSRF通过伪装成受信任用户的请求来请求网站,用户自己察觉不到这种操作,但操作请求是以用户的身份发出去的。网站大部分是通过Cookie来识别用户的,比如当用户在A网站进行身份验证成功之后浏览...原创 2019-08-28 21:08:14 · 1968 阅读 · 0 评论 -
常见安全漏洞说明
一、HTTPS漏洞: HTTPS的安全基础是SSL协议,但并不是说只要是HTTPS就是安全的。SSLv3有多个漏洞,如果HTTPS中启用SSLv3,会导致使用HTTPS的应用存在安全风险。目前SSLv3的相关漏洞没有对应的漏洞补丁,因此建议HTTPS禁用SSLv3版本;二、重定向到任意URL: 对于要重定向到的目标网址如果不做任何检查就进行重定向的话,有可能被黑...原创 2019-08-29 16:55:56 · 859 阅读 · 0 评论