Web安全
关注
分享
扫一扫
城市里的元
经营博客,需用心。
展开
-
【Web安全】XSS攻击
XSS攻击 全称跨站脚本攻击(Cross Site Scripting),为了不跟层叠样式表(CSS)重名,所以叫XSS;它是Web攻击中最常见的攻击手段之一!危害 攻击者在网站中嵌入恶意脚本(代码),当用户打开该网页时,脚本自动执行,它可以盗取用户cookie、用户名密码 下载病毒木马 强行跳转页面 其他可怕的事。原理 假设页面上有个需要用户填写...原创 2019-07-22 00:22:04 · 3620 阅读 · 1 评论 -
【Web安全】CSRF 攻击 (最新解决方案)
前言全称跨站请求伪造(Cross site request forgery), 尽管它听起来与XSS(跨站脚本攻击),但它与XSS非常不同。然而事实是,CSRF与XSS具有很大的相似性和关联性。一句话来说,就是可以利用某站点存在的XSS漏洞来进行CSRF攻击。CSRF的核心过程:攻击者利用站点B的XSS漏洞上传了恶意脚本,用户进入站点B时脚本执行,脚本内容是:向用户经常浏览的网...原创 2019-08-24 12:53:59 · 1273 阅读 · 0 评论 -
【Web安全】SQL注入攻击
前言引用书中介绍,SQL注入就是通过把SQL命令伪装成正常的HTTP请求参数传递到服务器,欺骗服务器最终执行恶意的SQL命令,达到入侵目的。达到的危害有:查询非授权信息 修改数据库数据 改变表结构甚至删除表 获取服务器root权限注入原理某网站的登录请求如下:url: http://api.adbc.com/user/loginmethod: postbody: {"...原创 2019-08-25 20:29:25 · 1119 阅读 · 0 评论 -
【Web安全】文件上传漏洞
前言上网过程中,我们经常会将一些如图片、压缩包之类的文件上传至文件服务器进行保存。而文件上传攻击指的是攻击者利用一些站点没有对文件的类型做很好的校验,上传了可执行的文件或脚本,并且通过脚本获得服务器上相应的权限,或者是通过诱导外部用户访问下载上传的病毒或木马,达到攻击的目的。除了上述危害,我们还需防止用户将文件服务器当成免费的网盘无限制上传文件。解决方案文件类型白名单校验(仅允许部...原创 2019-08-25 22:38:19 · 786 阅读 · 0 评论