网络钓鱼
网络钓鱼 (Phishing)伪造网页以欺诈方式获取敏感资料
用户一般是从垃圾邮件中访问网络钓鱼页面
钓鱼网站常用方式:
- 错误拼写URL链接
- Unicode攻击
- 移除或伪造地址栏
可移动代码
可执行、通过网络发送、在目标电脑上执行的代码程序。
沙箱
应用程序或脚本在另一个应用程序中的运行权限
沙箱只能访问某些文件和设备
Cookies
cookie是存储在计算机上、与特定服务器关联的一小部分信息。当您访问特定网站时,它可能会将信息存储为cookie,每次您重新访问该服务器时,cookie都会被重新发送到服务器,用于在会话中保存状态信息。
cookie可以保存任何类型的信息。可以保存敏感信息,包括密码,信用卡信息,社保号码等等。会话型cookie是浏览器的处理过程中保留的,是暂时性的,当浏览器关闭时则消除;持久性cookie是保存在客户端的硬盘上的,浏览器关闭也不会消除。
跨站脚本(XSS)
跨站脚本(XSS):攻击者将脚本代码注入Web应用程序生成的页面
XSS的发起条件
- Web服务器没有对用户输入进行有效性验证或者验证强度不够,而又轻易地将它们返回到客户端
- 允许用户在表格或编辑框中输入不相关字符
- 存储并允许把用户输入显示在返回给终端的页面上,而没有去除非法字符或者重新进行编码
客户端对XSS的防御
基于代理:
- 分析浏览器和Web服务器之间的HTTP通信量
- 寻找HTML中的特殊字符
- 执行Web页面之前对它们进行编码
应用层防火墙:
- 分析HTML页面中可能导致敏感信息泄漏的超链接
- 对于使用不良请求的一系列链接进行停止操作
SQL注入攻击
通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
防御SQL注入
- 使用预编译语句,绑定变量
- 对用户提交的数据和输入参数进行严格的过滤
- 使用安全函数:比如 OWASP ESAPI
- 摒弃动态SQL语句,改用存储过程来访问和操作数据。
- 最小权限原则
来源:CSDN
作者:xygenesis
链接:https://blog.csdn.net/qq_39132235/article/details/103580044