Source code
Login
Home
Articles
Open-Source
Pictures
About Me
Documents
Hot
1
汇编第五章
2
unix文件
3
ubuntu使用root用户登陆14-15版本可用
4
PHP-GTK2-文档学习&翻译——教程部分表格布局使用GtkTable
5
解决LINK : fatal error LNK1123: 转换到 COFF 期间失败: 文件无效或损坏
6
时钟
7
php导出数据到xls文件
8
Windows GUI开发在控制台打印输出
9
Vim设置字体linux和windows
10
对象代理
Links
网易云课堂
简明现代魔法
看风景
果壳网看科技
下厨房
Redis官网
nginx官网
Mysql文档
持续集成项目travis-c...
在线图书创作Leanpub
PHP-CPP
值得推荐的C/C++库和框架
腾讯一个php
Jquery插件库网站
phpstorm免费注册码
Game And C 老外
owent-ACM-Cpp-...
开源应用程序架构
QTCN开发网
OAuth2协议
SwiftChinese
香草/Vanilla是一个基...
个人征信查询
A set of PHP l...
知行一 | 顶级C++社区
国外QT支持站
WebGL中文网-three...
UE4学习资源合集
https://www.ma...
cppcon
C++官方文档
C++中文友好文档
阿里云珍贵技术资料免费下载
LoL查询
opengl-tutoria...
WebGl版本支持检测网址
OpenGL API Doc...
Git 在团队中的最佳实践-...
A successful G...
GLAD- 比glew更好的...
OpenGL模型导入库-As...
WebGL-火狐doc
如何开发一款游戏:游戏开发流...
Shader
nodejs中文网
Dracula-A dark...
即时通讯网
https://apizza...
sweetalert
伯乐在线github
阿里巴巴免费图标
opengl特效
看见统计
codewars算法挑战1
leetcode算法挑战2
PHP列续松博客
electron-vue文档
Vue Cli 3.0
element-ui
翻墙
Golang ORM ——G...
访客地图
常见Web攻防手段和防御方法
张成
2016/8
2831
#常见Web攻防手段 ### XSS 它是web中常见的攻击手段之一。在网页中嵌入恶意脚本程序。用户打开网页,触发脚本以达到盗取客户端cookie、用户名密码,下载病毒木马等目的。 XSS原理:在表单输入后,服务端未处理或者原样返回输出,即有机会执行这段脚本。 防范:对HTML进行转义处理,各种标签,单引号双引号全部转义。 ###CRSF 跨站请求伪造攻击。即请求来源端非用户登录目标网站操作而请求,而是第三方网站跳转直接访问。用户在目标网站登陆后,保持了cookie登录信息,在未登出的情况下,如有第三方网站当你访问了后,如若其在你访问第三方网站的情况下它请求目标网站即可携带浏览器cookie,达到伪造用户身份的目的。 防范:1.设置cookie httponly 禁止脚本读取。2.目标每次用户操作型请求之前均需在请求前生成一个验证字符串,在用户确认操作时同时携带这个验证字符串,常见方法在表单中加入隐藏字段。这样验证通过即可证明是非CRSF攻击。3.通过网站referer是否是目标网站来源请求。 ###Sql注入攻击 主要是Sql语句拼接不正确,未转义各个参数,导致字符串中携带的特殊字符或者含有sql语法的字符串,影响真正的业务sql。 防范:使用PDO bind参数功能,将各个参数绑定指定类型,转义后即不会发生sql注入意外情况。平时开发中,尽量不要手动拼接sql,以免防范不到位。 ###文件上传 使用文件后缀并不能完全判断文件类型,因为恶意攻击可以将可执行文件的后缀改为图片或其他类型。判断文件类型的方式可以判断文件的前几个字节,很多类型的文件,起始的几个字节是固定的。因此根据这几个字节的内容就可以确定文件类型。
上一篇:
常用安全算法——一
下一篇:
Ubuntu16.04LTS-apt-get update首次安装更新
Please enable JavaScript to view the
comments powered by Disqus.
