IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> Web安全总结 -> 正文阅读

[网络协议]Web安全总结

SQL注入

原理:

利用Web应用对后台数据库查询语句处理存在的安全漏洞,攻击者提交一段精心构造的数据库查询代码,根据返回的结果,获得他想得知的数据
受影响的系统:对输入参数不进行检查和过滤的系统

常见的SQL注入过程:
1.修改参数值等数据,被修改的数据注入到SQL语句中
2.数据库引擎执行被修改的SQL命令,将结果返回
3.根据返回的敏感信息构造语句进行进一步注入

在这里插入图片描述
例:
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

跨站脚本攻击(XSS)

原理:
Web服务器没有对用户输入进行有效性验证,而又轻易返回给客户端
攻击者往Web页面里插入恶意html代码,当用户浏览该网页时,嵌入其中的恶意代码被执行

危害:
可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告,查看主机信息等

在这里插入图片描述
攻击步骤:
1.寻找漏洞
2.注入恶意代码
3.欺骗用户访问

在这里插入图片描述
在这里插入图片描述

跨站请求伪造(CSRF)

原理:
目标网站A,恶意网站B
在这里插入图片描述

在这里插入图片描述

文件包含漏洞

在这里插入图片描述
当使用这4个函数包含一个新的文件时,该文件将作为php代码执行,php内核并不会在意该被包含文件的类型

验证码技术

用于人机区分,是防御http攻击的一种手段

在这里插入图片描述

总结

客户端和服务器面临的威胁:
在这里插入图片描述

防御Web攻击:

服务器:
1.简单性,最好把不必要的服务卸掉
2.使用超级用户需谨慎
3.本地和远程访问控制
4.审计,在审计记录中查找可疑数据
5.备份策略,方便快速恢复服务以减少损失

客户端:
1.对浏览器的安全性进行设置,使用漏洞数较少的浏览器,经常对浏览器进行升级
2.经常对操作系统打补丁、升级
3.尽量不打开一些不信任的网站

同源策略:
在这里插入图片描述
在这里插入图片描述

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-07-04 23:19:41  更:2022-07-04 23:20:09 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:10:17-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计