2. 程式人生 > >轉載自-天佑li,一般現在常見的網站攻擊方式

轉載自-天佑li,一般現在常見的網站攻擊方式

阿新 發佈:2018-11-15

 sql注入,xss攻擊,csrf攻擊,檔案上傳漏洞,訪問控制。這些是一般網站容易發生的攻擊方式,接下來我們一一分析它們是如何攻擊以及防範的。


一、sql注入


<1>什麼是sql注入?


        sql注入說的通俗一些就是使用者在http請求中注入而已的程式碼,導致伺服器使用資料庫sql命令時,導致惡意sql一起被執行。


使用者登入,輸入使用者名稱 zhangsan,密碼 ‘ or ‘1’=’1 ,如果此時使用引數構造的方式,就會出現



  
    
   
  1. select * from user 
    2. 
  

  
    where name = 'zhangsan'    and password = '' or '1'='1' 
 
  
 
 
  
 
 
  
  這樣zhangsan使用者沒有密碼也可以被登陸,如果使用者注入的是操作表的sql,就有大麻煩了。
 
  
 
 
  
 <2>怎麼防範sql注入?
 
  
 
 
  
 1.不用拼接 SQL 字串
 
  
 
 
  
  2. 有效性檢驗。(前端後端都需要。第一準則,外部都是不可信的,防止攻擊者繞過Web端請求)
 
 
  
 
 
  
  3過濾 SQL 需要的引數中的特殊字元。比如單引號、雙引號。推薦幾個函式mysql_real_escape_string()  addslashes()htmlentities() htmlspecialchars() strip_tags()  intval()
 
  
 
 
  
   4.限制字串輸入的長度。
 
  
 
 
  
 二、xss攻擊
 
  
 
 
  
 <1>什麼是xss攻擊
 
  
 
 
  
        跨站點指令碼攻擊,指攻擊者通過篡改網頁,嵌入惡意指令碼程式,在使用者瀏覽網頁時,控制使用者瀏覽器進行惡意操作的一種攻擊方式。
 
 
  
 
 
  
 假設頁面上有一個表單:
 
  
 
 
  

  
    
   
  1. <input  type="text" name="name" value="lisi"/>
    2. 
  
 
  
 
 
  
 如果,使用者輸入的不是一個正常的字串,而是
 
  
 
 
  

  
    
   
  1. "/><script>alert("haha")</script><!-
    2. 
  
 
  
 
 
  
 此時,頁面變成下面的內容,在輸入框input的後面帶上了一段指令碼程式碼。
 
  
 
 
  
 
 
  

  
    
   
  1. <input  type="text" name="name" value="樑桂釗"/><script>alert("haha")</script><!-"/>
    2. 
  
 
  
 
 
  
       這端指令碼程式只是彈出一個訊息框,並不會造成什麼危害,攻擊的威力取決於使用者輸入了什麼樣的指令碼,只要稍微修改,便可使攻擊極具攻擊性。常見的就是使用者一般在評論中或者反饋中使用xss。
 
  
 
 
  
 
 
  
 <2>如何防範xss
 
  
 
 
  
 同sql注入一樣。可以限制輸入字串的長度,對HTML轉義處理。將其中的”<”,”>”等特殊字元進行轉義編碼。
 
  
 
 
  
 三、csrf攻擊
 
  
 
 
  
 <1>什麼是csrf攻擊
 
  
 
 
  
       跨站點請求偽造,指攻擊者通過跨站請求,以合法的使用者的身份進行非法操作。可以這麼理解CSRF攻擊:攻擊者盜用你的身份,以你的名義向第三方網站傳送惡意請求。CRSF能做的事情包括利用你的身份發郵件,發簡訊,進行交易轉賬,甚至盜取賬號資訊。跨站點請求偽造,指攻擊者通過跨站請求,以合法的使用者的身份進行非法操作。可以這麼理解CSRF攻擊:攻擊者盜用你的身份,以你的名義向第三方網站傳送惡意請求。CRSF能做的事情包括利用你的身份發郵件,發簡訊,進行交易轉賬,甚至盜取賬號資訊。
 
  
 
 
  
 <2>怎麼防止csrf
 
  
 
 
  
 1.  安全框架使用。比如yii lavarel等。
 
  
 2.  token機制。在HTTP請求中進行token驗證,如果請求中沒有token或者token內容不正確,則認為CSRF攻擊而拒絕該請求。
 
  
 3. 驗證碼。通常情況下,驗證碼能夠很好的遏制CSRF攻擊,但是很多情況下,出於使用者體驗考慮,驗證碼只能作為一種輔助手段,而不是最主要的解決方案。
 
  
 4.   referer識別。在HTTP Header中有一個欄位Referer,它記錄了HTTP請求的來源地址。如果Referer是其他網站,就有可能是CSRF攻擊,則拒絕該請求。但是,伺服器並非都能取到Referer。很多使用者出於隱私保護的考慮,限制了Referer的傳送。在某些情況下,瀏覽器也不會發送Referer,例如HTTPS跳轉到HTTP。
 
  
 
 
  
 四、檔案上傳漏洞
 
  
 
 
  
 <1>什麼是檔案上傳漏洞
 
  
 
 
  
        檔案上傳漏洞,指的是使用者上傳一個可執行的指令碼檔案,並通過此指令碼檔案獲得了執行服務端命令的能力。比如使用者上傳一個可以關機的執行檔案,你的損失就大發了。
 
  
 
 
  
 <2>如何防範
 
  
 
 
  
 1. 檔案上傳的目錄設定為不可執行。
 
  
 2. 判斷檔案型別。在判斷檔案型別的時候,可以結合使用MIME Type,字尾檢查等方式。因為對於上傳檔案,不能簡單地通過後綴名稱來判斷檔案的型別,因為攻擊者可以將可執行檔案的字尾名稱改為圖片或其他字尾型別,誘導使用者執行。
 
  
 3. 對上傳的檔案型別進行白名單校驗,只允許上傳可靠型別。
 
  
 4. 上傳的檔案需要進行重新命名,使攻擊者無法猜想上傳檔案的訪問路徑,將極大地增加攻擊成本,同時向shell.php.rar.ara這種檔案,因為重新命名而無法成功實施攻擊。
 
  
 5. 限制上傳檔案的大小。
 
  
 6. 單獨設定檔案伺服器的域名。
 
  
 
 
  
 五、訪問控制
 
  
 
 
  
 即RBAC。現在一般網站都已經不存在這種問題了。
 
 
 
   
 
 
 
 

            
  

           

              
              

            

            
相關推薦

			   
            
            
            
 

    


    
    
轉載-li一般現在常見網站攻擊方式

     
  
 
   sql注入,xss攻擊,csrf攻擊,檔案上傳漏洞,訪問控制。這些是一般網站容易發生的攻擊方式,接下來我們一一分析它們是如何攻擊以及防範的。 
   
  
   一、sql注入 
    
   <1>什麼是sql注入? 
    
     &nbs 



  
 

    


    
    
Java過濾器Filter使用詳解(轉載別人的文章感覺很不錯適合我這樣的小白)

     
  
 
 Java過濾器Filter使用詳解 
   
  轉載請註明原文地址:http://www.cnblogs.com/ygj0930/p/6374212.html 
  在我的專案中有具體應用:https://github.com/ygj0930/CoupleSpace  



  
 

    


    
    
MyEclipse專案使用帶Git外掛新增Git支援(SSH方式

     
 
                
本文,主要總結使用MyEclipse自帶的Git外掛,對MyEclipse專案新增Git支援。
同時,登入遠端伺服器,使用的是SSH方式。
主要步驟如下:

一、建立本地的Git倉庫。
1、右鍵專案,依次點選 Team-->Share Project 。


2、有C 



  
 

    


    
    
SpringCloud之RestTemplate幾種常見的請求方式

     
  
 
 https://github.com/lenve/SimpleSpringCloud/tree/master/RestTemplate在Spring Cloud中服務的發現與消費一文中,當我們從服務消費端去呼叫服務提供者的服務的時候,使用了一個很好用的物件,叫做RestTemplate,當時我們只使 



  
 

    


    
    
一般現在常見網站攻擊方式

     
 
                
ql注入,xss攻擊,csrf攻擊,檔案上傳漏洞,訪問控制。這些是一般網站容易發生的攻擊方式,接下來我們一一分析它們是如何攻擊以及防範的。



一、sql注入


<1>什麼是sql注入?


        sql注入說的通俗一些就是使用者在http請求中注 



  
 

    


    
    
制作python模塊安裝包[轉載斯]

     
 ble   tool   例子   壓縮包   setup.py   .exe   第三方模塊   cal   簡單   python的第三方模塊越來越豐富,涉及的領域也非常廣,如科學計算、圖片處理、web應用、GUI開發等。當然也可以將自己寫的模塊進行打包或發布。一簡單的方法是將你的類包直接copy到pyt 



  
 

    


    
    
tensorbosrd出現No graph definition files were found補充內容 以下內容轉載https://blog.csdn.net/u014165082/article/details/79556366 tensorflow入門:新版本語法改動以及tensorbo

     
  
 
 tensorbosrd出現No graph definition files were found,補充內容
 
 在writer=tf.summary.FileWriter('./my_graph',sess.graph) 一句中,
 ./my_graph的絕對路徑不允許出現漢語,否則就會出現No 



  
 

    


    
    
學生-賜yuanphp單點登入實現demo

     
  
 
  1.準備兩個虛擬域名 
  127.0.0.1  www.openpoor.com 
  127.0.0.1  www.myspace.com 
  2.在openpoor的根目錄下建立以下檔案 
  index.php 
   
  
   
    
    [php]&n 



  
 

    


    
    
經典SQL語句大全-【轉載】部落格園作者部落格:YuBinfeng's Technology Blog

     
  
 
 因最近學習MySQL,閒來無事逛帖子時,發現這篇較為經典的部落格,特轉載以防備用學習,同時希望也可以幫到他人,廢話不多說,進入正文  
 
 一、基礎 
 1、說明:建立資料庫 
 CREATE DATABASE database-name 
 2、說明:刪除資料庫 
 drop data 



  
 

    


    
    
Java乾貨之Socket定義傳輸協議可用於一般即時通訊

     
  
 
  
  
 原型 
 客戶端 Client 
 package me.mxzf;

import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.DataInputStream;
imp 



  
 

    


    
    
轉載:雲HBase小組成功搶救某公司建HBase叢集挽救30+T資料

     
 
                    

                    

                    
                    
                    概述 
       
使用過開源HBase的人都知道,運維HBase是多麼複雜的事情,叢集大的 



  
 

    


    
    
第5定義建構函式建立物件(簡單工廠模式)

     
 面向物件 
 
 封裝、繼承、多型(抽象性) 
  
  js是一門基於物件的語言 
   
   萬物皆物件 
   
  
 
物件:有屬性和方法,具體特指的某個事物 
 
 物件:有特徵和行為,具體特指的某一事物 
 
javaScript 中的所有事物都是物件:字串、數值、陣列、函式... 此外,Ja 



  
 

    


    
    
python tkinter中點選回車清空Text同時游標顯示在0.0(轉載 https://blog.csdn.net/dcyywin8/article/details/83306011)

     
 所遇問題: 
當想要使用Text中的繫結事件回車清空Text中的內容時,總是先執行清空操作,再執行回車操作,這樣每次Text其它內容都清空了,但還是會留下一個回車。 
  
思路: 
使用bind方法獲取鍵盤的事件,當鍵盤事件(event)的keycode等於13時,觸發事件。新建一個執行緒作為被觸 



  
 

    


    
    
曾經的理髮店小弟現在是阿里P10技術大牛(轉載微信公眾號——阿里技術)

     
 紅雪是螞蟻金服的研究員,帶領大幾百號人的技術團隊,最近還入選了“全球35位35歲以下科技創新青年”。團隊裡都是學霸海歸,每次有新人入職,他都會笑著拱拱手:學霸你好,我是個學渣,我沒上過大學。他高中畢業,沒上大學四處打零工,路邊修過自行車,也做過理髮店小弟。想學自考混文憑,結果連自考的考試都掛掉了。學歷不是你成 



  
 

    


    
    
在mac系統安裝Apache Tomcat的詳細步驟(轉載himi的部落格修改了錯誤添加了圖片)

     
 
                


對於Apache Tomcat 估計很多童鞋都會,那麼今天就簡單說下在mac上進行tomcat的安裝;

 
  第一步:下載Tomcat      

這裡Himi下載的tomcat version:7.0.27


直接下載如下選中即可:



第二步:
   下載 



  
 

    


    
    
轉載:Hadas-Wk  MyEclipse中建立WEB工程運用標籤顯示圖片等但無法顯示問題

     
 
                首先,客戶端瀏覽器訪問jsp頁面的時候,解析圖片路徑後是在伺服器的tomcat的工程下面去尋找,在MyEclipse中是在WebRoot線面去找,這是關鍵所在。情況一:把圖片picture.jpg(比如這個圖片名是picture.jpg)放在和JSP檔案同一目錄下(即預設的W 



  
 

    


    
    
影象處理計算機視覺與machine learning的區別與聯絡(轉載 https://mp.weixin.qq.com/s/gOikxUxWpqdDRr6_KT2jxQ)

     
 
                        隨著科技進步的加速,新的技術出現並且成熟的速度明顯地加快了,過去我們老說成像技術,訊號處理,影象處理,後來又經常說計算機視覺,現在則鋪天蓋地都是machine learning。這些技術或多或少的在我們的身邊出現,到底他們是什麼,與我們目前的工作有哪些聯絡和區 



  
 

    


    
    
【水杯測試】——面試會遇到的問題之一轉載“labs”

     
 
                
在軟體測試的面試中,經常會碰到類似的問題,比如:如何測試一個杯子,或者如何測試一隻筆。要求你設計20個以上的test case(測試用例).這類的面試題目,是考察面試者是否熟悉各種軟體測試方法,設計test case的能力, 以及testsense。
首先應該反問一下HR, 



  
 

    


    
    
【Linux】linux定時清除N之前的檔案一般用於清除日誌檔案

     
 
								
								            
						
                
定時清除,使用linux的crontab定時任務

*  *  *  *  *  command 
分 時 日 月 周 命令 

清楚日誌指令碼

find /root/smsp/logs/ -mti 



  
 

    


    
    
建立大量的模擬資料一般用於測(又叫資料準備)

     
 
                //把emp表中的所有資料插入到emp表中insert into emp select * from emp;//把emp表中的部分欄位插入emp表中insert into emp (name,sex) select name,sex from emp;注意:1、通過反覆執行