当前位置 : 主页 > 网页制作 > html >

web安全基础知识

来源:互联网 收集:自由互联 发布时间:2021-06-12
常见的web安全问题,原理和防范措施。 SQL注入 XSS(跨站脚本攻击, Cross-Site Scripting) CSRF(跨站请求伪造, Cross-site request forgery) 什么是SQL注入? 通过构造特殊的输入参数传入web应用

常见的web安全问题,原理和防范措施。 

  • SQL注入
  • XSS(跨站脚本攻击, Cross-Site Scripting)
  • CSRF(跨站请求伪造, Cross-site request forgery)

 

什么是SQL注入?

  • 通过构造特殊的输入参数传入web应用,导致后端执行了恶意的SQL
  • 通常由于程序员未对输入进行过滤,直接动态拼接SQL产生
  • 可以使用开源工具sqlmap,SQLninja 检测。

 

如何防范SQL注入?

原则:永远不要相信用户的任何输入

  • 对输入参数做好检查(类型和范围); 过滤和转义特殊字符
  • 不要直接拼接sql, 使用ORM可以大大降低sql注入的风险
  • 数据库层: 做好权限管理配置; 不要明文储存敏感信息。

 

什么是xss(Cross Site Scripting), 跨站脚本攻击

  • 恶意用户将代码植入到提供给其他用户使用的页面中,未经转义的恶意代码输出到其他用户的浏览器中被执行
  • 用户浏览页面的时候嵌入页面的脚本(js)会被执行,攻击用户。 比如dom中: document.cookie 可以获取页面的cookie信息。
  • 主要分为两类: 反射型(非持久型), 存储型(持久型)

 

如何防范XSS呢?

不要相信用户的任何输入!

  • 过滤(输入和参数)。 对敏感标签<script> <img><a>等进行过滤。
  • 转义。 对常见的符号("&", "<" , ">")转义(python3 html.escape)
网友评论