Js document.cookie过去当前页面cookie
Xss跨站攻击
Sql注入 最通用攻击手段,关系型数据库
获取服务器端数据库的内容,修改
Access?
Md5加密不可逆
inure::php?浏览器中搜索地址包含php?
认证与授权
登录认证
访问页面的时候加session认证
确认每一个绝对URL都需要授权
文件上传漏洞
如何进行?
1 上传可执行脚本
2 修改服务器核心参数,禁止系统引擎运行系统命令
预防:
限制上传文件格式
通过文件名后缀判断 较低级的做法,修改文件名后再上传,有风险
通过二进制判断文件类型,避免可执行脚本,exe等
DDOS拒绝服务攻击(分布式拒绝服务攻击)
疯狂地张服务器发请求
方法:肉鸡,攻击联盟,模拟不存在的IP地址发
XSS跨站攻击
往web页面里面插入恶意html代码,当用户浏览时,代码会被执行,攻击用户
避免:页面上所有可输入的地方,都要做合法性检查
获取sessionid 用户账号密码等重要信息
Session与cookie
session保存服务器端的文件
cookie 保存在电脑
cookie欺骗 获取到sessionid
cookie作用域path:/ 整个根目录 不同的系统可以检查访问
解决:不同系统不同作用域
预防:避免保存敏感信息到cookie,例如用户名、密码
SQL注入 最通用的一个方法,针对关系型数据库
凡是可以输入和Url的地方
目的 获取服务器端的数据库的内容,并修改
方法:
利用sql注入登录(通过登录输入sql,通过post请求)
利用url地址参数注入sql
避免:界面上控制输入长度,服务器对输入长度做限制,需要检查表名,列名以及加密方式
网友评论