Web安全

故事扮演 提交于 2020-02-06 10:45:14

网络钓鱼

网络钓鱼 (Phishing)伪造网页以欺诈方式获取敏感资料
用户一般是从垃圾邮件中访问网络钓鱼页面
钓鱼网站常用方式:

  • 错误拼写URL链接
  • Unicode攻击
  • 移除或伪造地址栏

可移动代码

可执行、通过网络发送、在目标电脑上执行的代码程序。

沙箱

应用程序或脚本在另一个应用程序中的运行权限
沙箱只能访问某些文件和设备
在这里插入图片描述
在这里插入图片描述


Cookies

cookie是存储在计算机上、与特定服务器关联的一小部分信息。当您访问特定网站时,它可能会将信息存储为cookie,每次您重新访问该服务器时,cookie都会被重新发送到服务器,用于在会话中保存状态信息。
cookie可以保存任何类型的信息。可以保存敏感信息,包括密码,信用卡信息,社保号码等等。会话型cookie是浏览器的处理过程中保留的,是暂时性的,当浏览器关闭时则消除;持久性cookie是保存在客户端的硬盘上的,浏览器关闭也不会消除。


跨站脚本(XSS)

跨站脚本(XSS):攻击者将脚本代码注入Web应用程序生成的页面

XSS的发起条件

  • Web服务器没有对用户输入进行有效性验证或者验证强度不够,而又轻易地将它们返回到客户端
  • 允许用户在表格或编辑框中输入不相关字符
  • 存储并允许把用户输入显示在返回给终端的页面上,而没有去除非法字符或者重新进行编码

客户端对XSS的防御

基于代理:

  • 分析浏览器和Web服务器之间的HTTP通信量
  • 寻找HTML中的特殊字符
  • 执行Web页面之前对它们进行编码

应用层防火墙:

  • 分析HTML页面中可能导致敏感信息泄漏的超链接
  • 对于使用不良请求的一系列链接进行停止操作

SQL注入攻击

通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

防御SQL注入

  • 使用预编译语句,绑定变量
  • 对用户提交的数据和输入参数进行严格的过滤
  • 使用安全函数:比如 OWASP ESAPI
  • 摒弃动态SQL语句,改用存储过程来访问和操作数据。
  • 最小权限原则
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!