一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法。
一、SQL注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
原理:
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。基于此,SQL注入的产生原因通常表现在以下几方面:
①不当的类型处理;
②不安全的数据库配置;
③不合理的查询集处理;
④不当的错误处理;
⑤转义字符处理不合适;
⑥多个提交处理不当。
防护:
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。
2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5.应用的异常信息应该给出尽可能少的提示,更好使用自定义的错误信息对原始错误信息进行包装
6.sql注入的检测 *** 一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。
二、跨站脚本攻击(XSS,Cross-site scripting)
跨站脚本攻击(XSS)是最常见和基本的攻击WEB网站的 *** 。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息,以及造成其它类型的攻击,例如CSRF攻击。
常见解决办法:确保输出到HTML页面的数据以HTML的方式被转义
出错的页面的漏洞也可能造成XSS攻击,比如页面/gift/giftList.htm?page=2找不到。出错页面直接把该url原样输出,如果攻击者在url后面加上攻击代码发给受害者,就有可能出现XSS攻击
三、 跨站请求伪造攻击(CSRF)
跨站请求伪造(CSRF,Cross-site request forgery)是另一种常见的攻击。攻击者通过各种 *** 伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据,或者执行特定任务的目的。为了假冒用户的身份,CSRF攻击常常和XSS攻击配合起来做,但也可以通过其它手段,例如诱使用户点击一个包含攻击的链接。
解决的思路有:
1.采用POST请求,增加攻击的难度.用户点击一个链接就可以发起GET类型的请求。而POST请求相对比较难,攻击者往往需要借助javascript才能实现
2.对请求进行认证,确保该请求确实是用户本人填写表单并提交的,而不是第三者伪造的.具体可以在会话中增加token,确保看到信息和提交信息的是同一个人
四、Http Heads攻击
凡是用浏览器查看任何WEB网站,无论你的WEB网站采用何种技术和框架,都用到了HTTP协议。HTTP协议在Response header和content之间,有一个空行,即两组CRLF(0x0D 0A)字符。这个空行标志着headers的结束和content的开始。“聪明”的攻击者可以利用这一点。只要攻击者有办法将任意字符“注入”到 headers中,这种攻击就可以
伴游天下app-模特papa哪家好 伴游描述:最近有很多朋友在商务预约网后台留言,想了解关于伴游天下app信息。于是小编通过百度、知乎、文库等途径,总结了以下关于伴游天下app的全部内容。希望对大...
电烤箱相信大家都听说过,它是一种密封的用来烤食物或烘干产品的厨房电器。电烤箱现在的使用频率越来越高,许多朋友都喜欢用烤箱来制作美味的食物,如蛋糕、饼干等等。大家如果需要购买电烤箱,又会遇到什么难题呢?...
近日,一名12岁男孩确诊肺癌晚期的消息给人们敲醒了警钟,在人们的印象中,癌症这种一般更多发生在成年人身上,那么,12岁男孩确诊肺癌晚期是怎么回事?为什么会得肺癌?下面友谊长存小编就来说说。 12岁男...
实际上线上直播早已很多年了,在小视频以前直播也都一直挺火。为何如今又把这一件事儿提上去了?历史时间全是在波浪形前行、量变到质变的,直播也在持续的发展趋势。线上直播早已渐渐地的由最开始的秀场直播演变到不...
Conn.close 基本思路,有很多散布于不同地址(不同国家不同省份不同城市)的IP去拜访网站,看域名解析的成果IP是否共同。 最终,下文呈现的一切的片段代码将会开源,无需忧虑。 http:...
申请三相40A电表要4600元,20电表3600元。。。因最近多买了两台大功率。 看详细的负荷容量有较大的区别。此刻根基上来就是3x5(100)a的宽幅电表,可用近60千瓦负荷(功率因数0.9...