1.sql注入原理
- 是將sql代碼偽裝到輸入參數中,傳遞到服務器解析並執行的一種攻擊手法。也就是說,在一些對server端發起的請求參數中植入一些sql代碼,server端在執行sql操作時,會拼接對應參數,同時也將一些sql注入攻擊的“sql”拼接起來,導致會執行一些預期之外的操作。
防范:
- 對用戶輸入進行校驗
- 不適用動態拼接sql
2.XSS(跨站腳本攻擊)
- 往web頁面插入惡意的html標簽或者js代碼。
舉例子
- 在論壇放置一個看是安全的鏈接,竊取cookie中的用戶信息
防范
- 盡量采用post而不使用get提交表單
- 避免cookie中泄漏用戶的隱式
3.CSRF(跨站請求偽裝)
通過偽裝來自受信任用戶的請求
舉例子
- 黃軼老師的webapp音樂請求數據就是利用CSRF跨站請求偽裝來獲取QQ音樂的數據
防范:
- 在客服端頁面增加偽隨機數,通過驗證碼
XSS和CSRF的區別:
- XSS是獲取信息,不需要提前知道其他用戶頁面的代碼和數據包
- CSRF代替用戶完成指定的動作,需要知道其他頁面的代碼和數據包