- 博客(2)
- 收藏
- 关注
RSS订阅原创 OWASP Top 10-csrf(跨站请求伪造)
CSRF 攻击原理与防护 跨站请求伪造(CSRF)是一种利用用户已认证会话执行非授权操作的攻击方式,位列OWASP Top 10安全风险。其核心在于攻击者诱导用户访问恶意页面,利用浏览器自动携带的Cookie等凭据伪造请求,触发目标站点的敏感操作(如转账、改密)。 攻击流程需满足三大条件:用户已登录、接口无防护、用户被诱导触发。典型场景如通过自动提交表单实现POST型攻击。防护需综合考虑会话认证方式(Token优于Cookie)、Cookie属性(SameSite/HttpOnly)、CSRF Token验
2025-09-02 09:31:38
656
原创 OWASP Top 10-sql注入
SQL注入是一种通过恶意SQL代码插入获取非授权数据库访问的Web安全漏洞。其原理是当用户输入未经过滤直接拼接到SQL语句时,攻击者可构造特殊输入改变查询逻辑。常见注入类型包括联合查询、报错注入、布尔/时间盲注等,利用方式因数据库类型、参数格式、防护措施而异。检测流程包括信息收集、注入点探测、类型确定、数据提取和权限提升。影响因素包括数据库权限、参数类型、数据过滤、WAF防护等,需针对不同场景采用不同绕过技术。
2025-08-29 15:33:35
882
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人