web常見攻擊以及防備
標(biāo)簽: django
sql注入攻擊與防范
-
特點(diǎn)
[1] 非法讀取、篡改灸蟆、刪除數(shù)據(jù)庫數(shù)據(jù)
[2] 盜取用戶各類敏感信息,獲取利益
[3] 修改數(shù)據(jù)庫來修改網(wǎng)上內(nèi)容
[4] 注入木馬
正常的sql查詢
select * from users_userprofile where email=...and password = ...
篡改后
select * from users_userprofile where email='' OR 1= 1 # and password = ...
xss攻擊與防范
-
cross site scripting 跨站腳本攻擊
[1] 盜取各類賬戶,網(wǎng)銀管理員賬戶
[2] 盜取企業(yè)的重要商業(yè)秘密
[3] 非法轉(zhuǎn)賬
[4] 控制受害機(jī)繼續(xù)攻擊其他網(wǎng)站攻擊勾拉、注入密碼
正常網(wǎng)頁鏈接
http://www.bank.com/product/list/?name='iphone6'
篡改后
http://www.bank.com/product/list/?name=<script>x=document.cookie;alert(x);</script>'iphone6'
-
防護(hù)
[1] 檢查字符長度和'<'>',':','特殊字符
[2] 避免直接cookie存儲(chǔ)用戶信息煮甥,或者通過用戶和ip綁定的方式
[3] 盡量才用post提交,而非get提交
csrf攻擊與防范
-
cross-site request forgery 跨站請(qǐng)求偽造
[1] 發(fā)送郵件
[2] 盜取賬戶
[3] 購買商品
[4] 虛擬貨幣轉(zhuǎn)賬
- 本篇博客原視頻博主[慕課在線教育平臺(tái)]
- 本篇博客撰寫人: XiaoJinZi 轉(zhuǎn)載請(qǐng)注明出處
- 學(xué)生能力有限 附上郵箱: 986209501@qq.com 不足以及誤處請(qǐng)大佬指責(zé)
