web常见攻击以及防备

标签： django

sql注入攻击与防范

• 特点

  [1] 非法读取、篡改、删除数据库数据

  [2] 盗取用户各类敏感信息，获取利益

  [3] 修改数据库来修改网上内容

  [4] 注入木马

  正常的sql查询

  select * from users_userprofile where email=...and password = ...

  篡改后

  select * from users_userprofile where email='' OR 1= 1 # and password = ...

xss攻击与防范

• cross site scripting 跨站脚本攻击

  [1] 盗取各类账户，网银管理员账户

  [2] 盗取企业的重要商业秘密

  [3] 非法转账

  [4] 控制受害机继续攻击其他网站攻击、注入密码

  正常网页链接

  http://www.bank.com/product/list/?name='iphone6'

  篡改后

  http://www.bank.com/product/list/?name=<script>x=document.cookie;alert(x);</script>'iphone6'

• 防护

  [1] 检查字符长度和'<'>',':','特殊字符

  [2] 避免直接cookie存储用户信息，或者通过用户和ip绑定的方式

  [3] 尽量才用post提交，而非get提交

csrf攻击与防范

• cross-site request forgery 跨站请求伪造

  [1] 发送邮件

  [2] 盗取账户

  [3] 购买商品

  [4] 虚拟货币转账

• 本篇博客原视频博主[慕课在线教育平台]
• 本篇博客撰写人: XiaoJinZi 转载请注明出处
• 学生能力有限 附上邮箱: 986209501@qq.com 不足以及误处请大佬指责