最近面试狂问网络安全,还不是简单的网络和协议的问题,总之自己对这块不是很清楚,吓得我赶紧关注了一下这块,其实还在纠结这到底是后台改关注的事还是网络安全工程师要关注的事,不管怎么样,毕竟属于WEB方面的,自己总得关注一下。
1、易受到跨站点脚本攻击
获取身份验证Cookie,攻击管理员账户或者攻击其他服务器和系统该漏洞可以通过在某区域中插入“<script>alert(‘23389950’);</script>”
来判断。
完善:标准的HTML转码、对页面输入参数进行强化检查、在客户端判断的参数在服务端进一步强化检查、提供全局的转码和过滤的函数
2.易受到SQL注入攻击
风险:攻击者可以通过应用程序发送数据库命令,这些命令将被服务器执行。这可以用来对数据库进行完全控制。这些SQL注入漏洞可以通过在其中一个区域插入“and 7 = 7 -”或“and 8 = 9 -”,并比较结果进行判断。
分析:SQL注入是一种将SQL代码插入或添加到用户的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行
解决:对在程序外所有课接收外部参数的地方进行逐一识别,以过滤危险字符
3.网站后台管理通过不安全链接实施
风险:管理访问没有强制实施SSL,这可能允许攻击者监视并修改用户和服务器之间的发送的包含账户数据。如果攻击者使用代理或者路由拦截服务器和管理员之间的通信,会使得管理员账户可能回收到危害
分析:管理访问没有强制实施SSL,为防止数据拦截,管理访问应该强制执行HTTPS SSL(安全套阶层)
解决:对服务器调整配置,单独支持SSL访问管理后台
知道的不全,毕竟不是网络安全的,算是了解一点吧