欢常见的Web安全方面问题
2023-02-18 16:47:48 时间
- SQL注入
- 说明:将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
- 防范:
- 对输入字符进行严格验证,可以用正则表达式等。
- 尽量不要使用原始错误信息输出,可以自己对原始错误信息进行包装。
- 不要全部使用管理员权限连接,应为每个应用设置独立的权限。
- 验证码
- 说明:为了防止批量提交达到试错的目的而产生
- 防范 :加入杂色,网格,线条等。尽量不要被机器识别的内容
- 刷新提交
- 说明:刷新导致重复提交
- 防范
- 刷新重定向
- 提交表单后你关闭页面
- 禁止缓存(header中添加no-cache)
- 漏洞扫描
- 说明 :常见的端口扫描等
- 防范 : 防火墙,IP端口开放,禁ping等
- DOS攻击
- 说明:目的是消耗目标对象的资源(包括网络带宽,文件系统空间容量,开放的进程或者允许的连接)
- 防范:配置路由器、防火墙和入侵检测系统来抵御常见DDoS攻击
- CSRF(跨域请求伪造)
- 说明:通过伪装成受信任用户的请求来利用受信任的网站。
- 防范:
- 进行token验证,每次都要验证token
- 对请求来源进行验证,通过refer来检验。
- XSS :跨站脚本攻击
- 说明:用户输入表单中恶意植入JavaScript内容,其中的script标签中的内容,将会直接被当成脚本执行,有心的攻击者可以利用这一漏洞,随心所欲地写自己的攻击脚本,比如获取用户的cookie、进行恶意请求、监听用户输入等
- 防范:
- 对用户输入的数据进行过滤。
- 对能影响代码的特殊符号进行转义,如’<'等
相关文章
- MySQL 面试官问:什么是当前读与快照读?
- JVM 类加载过程详解 及初始化顺序代码验证 彻底搞定面试官
- 阿里面试官:使用策略模式+工厂模式干掉代码中过多的if-else
- 一道非常棘手的 Java 面试题:i++ 是线程安全的吗?
- 全网首发“Java面试考点大全”,20+互联网公司,应有尽有
- OpenCloudOS 悟能助力首个云计算能耗优化国际标准
- LeetCode和面试中的常客,巧妙的两指针算法
- NodeJS使用FFMPEG获取视频封面
- IPC$横向移动
- 基于深度学习的【木板】表面缺陷检测与识别
- OpenCV快速识别魔方六面颜色
- 基于图割算法的木材表面缺陷图像分割
- 金九银十,收下这份 Java String 面试题
- 从图灵机到量子计算机,计算机可以解决所有问题吗?
- 一套用了 70 年的计算机架构 —— 冯·诺依曼架构
- 图解计算机内部的高速公路 —— 总线系统
- 图解计算机的存储器金字塔
- 面试官:什么是伪共享,如何避免?
- 为什么计算机中的负数要用补码表示?
- 宝塔部分用户被挂马,官方建议暂时关闭面板