a. WEB安全之-CSRF(跨站请求伪造)
1. https://www.jianshu.com/p/855395f9603b
2. https://baijiahao.baidu.com/s?id=1639390719414040415&wfr=spider&for=pc
3. https://my.oschina.net/jasonultimate/blog/212554
攻击网站B需要伪造成信任网站A的请求,才能获取网站A的cookie,从而骗取网站A服务器的信任。
4. https://zhuanlan.zhihu.com/p/22521378
直接在信任网站A的评论里面发布攻击链接,点击后可以相当于从信任网站A本站发出一个请求,不用伪造跨域。
b. xss跨站脚本攻击
1. https://segmentfault.com/a/1190000020402185
c. sql注入
原理:在提交的变量中插入sql特点的sql语句,后端sql执行时,把这些特殊的sql语句执行后,造成错误结果。
比如登陆接口有这样一段拼接sql:"select id from user_tb where user_name = " + paramsName + "and user_pwd = " + paramsPwd
传入: { paramsName: "别人的账号名", paramsPwd: "1 or 1 = 1" }
随便一个密码就登陆了其他人的账号。
防御:后台执行sql语句前,使用预编译,绑定变量,比如java中的PrepareStatement
网友评论