网络安全(1)
2016-04-12 10:21
323 查看
网络安全
标签(空格分隔): web 网络安全网络安全
web开发常见的攻击
XSS
XSS类型
CSRF
csrf攻击原理
SQL INJECTION
sql injection的攻击原理
web开发常见的攻击
XSS
XSS, Cross Site Scripting全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有JavaScript的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。XSS类型
-非持久型攻击
非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。
-持久型攻击
持久型xss攻击会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。
CSRF
CSRF,Cross-site request forgery 跨站请求伪造.csrf攻击原理
- 用户登陆受信任的网站A(webA,存在csrf漏洞) - 验证通过产生访问A网站的cookie - 用户在没有登出A网站的情况下,访问恶意网站B - B网站请求访问第三方站点A网站,发出request请求 - 根据请求,浏览器(并没有得到用户的授权)带着cookie请求网站A CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的!
SQL INJECTION
sql注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。sql injection的攻击原理
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句. SQL注入攻击是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
相关文章推荐
- 构建svn+apache并实现https
- 关于okhttp
- bzoj 3504(神题,网络流)
- SHELL笔记之网络(六)
- HttpContext讲解
- 1014 装箱问题——http://codevs.cn/problem/1014/
- linux 网络协议栈
- 使用iperf测试网络性能
- 网络请求的封装
- android 通过Service和Receiver来监听网络状态
- cocoapods使用时提示Error fetching http://ruby.taobao.org/: bad response Not Found 404
- https工作原理
- 哪些网站需要HTTPS(SSL证书)
- HttpClient入门实例
- Https 原理
- Bzoj2229:[Zjoi2011]最小割:分治最小割
- HttpApplication处理对象与HttpModule处理模块
- HttpHandler与HttpModule的用处与区别
- http协议特点
- 网络数据包分析