web常見攻擊以及防備

標簽： django

sql注入攻擊與防范

• 特點

  [1] 非法讀取、篡改、刪除數據庫數據

  [2] 盜取用戶各類敏感信息，獲取利益

  [3] 修改數據庫來修改網上內容

  [4] 注入木馬

  正常的sql查詢

  select * from users_userprofile where email=...and password = ...

  篡改后

  select * from users_userprofile where email='' OR 1= 1 # and password = ...

xss攻擊與防范

• cross site scripting 跨站腳本攻擊

  [1] 盜取各類賬戶，網銀管理員賬戶

  [2] 盜取企業的重要商業秘密

  [3] 非法轉賬

  [4] 控制受害機繼續攻擊其他網站攻擊、注入密碼

  正常網頁鏈接

  http://www.bank.com/product/list/?name='iphone6'

  篡改后

  http://www.bank.com/product/list/?name=<script>x=document.cookie;alert(x);</script>'iphone6'

• 防護

  [1] 檢查字符長度和'<'>',':','特殊字符

  [2] 避免直接cookie存儲用戶信息，或者通過用戶和ip綁定的方式

  [3] 盡量才用post提交，而非get提交

csrf攻擊與防范

• cross-site request forgery 跨站請求偽造

  [1] 發送郵件

  [2] 盜取賬戶

  [3] 購買商品

  [4] 虛擬貨幣轉賬

• 本篇博客原視頻博主[慕課在線教育平臺]
• 本篇博客撰寫人: XiaoJinZi 轉載請注明出處
• 學生能力有限 附上郵箱: 986209501@qq.com 不足以及誤處請大佬指責