摘要:
一、概述 SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的"数据"拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。 在构建代码时,一般会从如下几个方面的策略来防止SQL注入漏洞: 1.对传进SQL语句里面的变量进行过滤,不允许危险字符传入; 2.使用参数化(Pa... 阅读全文
posted @ 2020-03-31 22:58
N0r4h
阅读(1017)
评论(0)
推荐(0)
摘要:
一、概述 Cross-site request forgery 简称为"CSRF",在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 网站如果要防止CSRF攻击,则需要对敏感信息的操作实施对应的安全措施,防止这些操作出现被伪造的情况,从而导致CSRF。比如: ... 阅读全文
posted @ 2020-03-31 22:32
N0r4h
阅读(324)
评论(0)
推荐(0)
摘要:
一、概述 "暴力破解"是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有 阅读全文
posted @ 2020-03-31 22:07
N0r4h
阅读(355)
评论(0)
推荐(0)
摘要:
一、概述 XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致"精心构造"的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。 因此在XSS漏洞的防范上,一般会采用"对输入进行过滤"和"输出进行转义"的方式进行 阅读全文
posted @ 2020-03-31 21:50
N0r4h
阅读(663)
评论(0)
推荐(0)
摘要:
博客园随笔的编辑发布比较难用,影响博客文章的美观和写的速度。这里记录一下用word编辑后发布的使用技巧。并更新一下记录pikachu平台的文章。 工具:word2016 第一步:在word中编辑好自己需要发布的内容。 第二步:在word中依次选择如下选项: 第三步:选择发布到博客之后,在弹出的界面点 阅读全文
posted @ 2020-03-31 19:17
N0r4h
阅读(247)
评论(0)
推荐(1)
浙公网安备 33010602011771号