Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1887155
  • 博文数量: 2460
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 24729
  • 用 户 组: 普通用户
  • 注册时间: 2020-11-26 14:30
个人简介

更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号

文章分类

全部博文(2460)

文章存档

2024年(310)

2023年(643)

2022年(693)

2021年(734)

2020年(80)

我的朋友

分类: 网络与安全

2021-10-08 16:31:51

  想必很多人都看到过SQL注入、XSS以及CSRF这三个词,但大部分人对它根本不了解,甚至不知道其含义是什么。接下来,小编为大家详细介绍一下什么是SQL注入、XSS以及CSRF?不知道的人快来看看吧。

  SQL注入

  SQL注入属于注入式攻击,这种攻击是因为在项目中没有将代码与数据隔离,在读取数据的时候,错误的将数据作为代码的一部分执行而导致的。

  如何处理SQL注入情况?三个方面:

  1、过滤用户输入参数中的特殊字符,降低风险;

  2、禁止通过字符串拼接sql语句,严格使用参数绑定来传入参数;

  3、合理使用数据库框架提供的机制。

  XSS

  XSS,跨站脚本攻击,Cross-Site Scripting,为了和前端的CSS避免重名,简称为XSS,是指通过技术手段,向正常用户请求的HTML页面中插入恶意脚本,执行。

  这种攻击主要是用于信息窃取和破坏等目的。在防范XSS上,主要就是通过对用户输入的数据做过滤或者或者转义,可以使用框架提供的工具类HTML Util,另外前端在浏览器展示数据的时候,要使用安全的API展示数据。比如使用inner text而不是inner HTML。

  CSRF

  跨站请求伪造,在用户并不知情的情况下,冒充用户发送请求,在当前已经登录的Web网站上执行恶意操作,比如恶意发帖,修改密码等。

  大致来讲,与XSS有重合的地方,前者是黑客盗用用户浏览器中的登录信息,冒充用户去执行操作;后者是在正常用户请求的HTML中放入恶意代码,XSS问题出在用户数据没有转义,过滤;CSRF问题出现在HTTP接口没有防范不守信用的调用。

  防范CSRF漏洞方式:

  1、CSRF Token验证,利用浏览器的同源限制,在HTTP接口执行前验证Cookie中的Token,验证通过才会继续执行请求。

  2、人机交互,比如短信验证码、界面的滑块等。

阅读(439) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~