碼迷,mamicode.com
首頁 > 數據庫 > 詳細

XSS、CSRF、SQL注入原因分析,危害,解決方案

時間:2019-12-06 16:28:19      閱讀:84      評論:0      收藏:0      [點我收藏+]

標簽:警告   NPU   驗證   舉例   erer   dog   http請求   cookie   取出   

一、xss

名詞解釋:xss指的是攻擊者利用用戶提交的數據沒有就行過濾和轉義處理的缺點,進而添加一些代碼到web界面中去。利用了系統對用戶的信任

危害:盜取各種賬號,網站掛馬,非法轉賬等。

造成原因:過于信任客戶端提交的數據。

解決辦法:對客戶端提交過來的數據進行過濾,轉義,正則校驗。

舉例:

有個表單域:<input type=“text” name=“content” value=“這里是用戶填寫的留言”>

1、假若用戶填寫數據為:<script>alert(‘dog!‘)</script>(或者<script type="text/javascript" src="./xss.js"></script>)

2、提交后將會彈出一個dog警告窗口,接著將數據存入數據庫

3、等到別的客戶端請求這個留言的時候,將數據取出顯示留言時將執行攻擊代碼,將會顯示一個dog警告窗口。

二、csrf攻擊

名詞解釋:csrf(偽造跨站請求)。攻擊者通過夾持用戶已經登錄的web網站執行攻擊操作。利用 了系統對瀏覽器的信任

csrf攻擊流程:

1.客戶端請求網站A并生成一個cookie憑證保存在瀏覽器中。

2.客戶端訪問網站B,網站B自動觸發客戶端請求網站A。通過B網站請求網站A時,帶有合法的A網站的cookie憑證。

2.A網站若只驗證cookie,執行操作,則攻擊成功。

解決辦法:1.使用驗證碼2.每一個表單都有他的唯一token令牌3.驗證http referer(http請求的來源地址)

三、sql注入

名詞解釋:攻擊者把sql代碼添加到程序參數里面,服務端未對參數進行應有的過濾和校驗,導致攻擊的sql語句被當做參數執行。

危害:利用漏洞,執行一些危險的sql語句(獲取數據機密,刪除修改數據)。

解決方案:

1.在表單通過js綁定一些數據類型,在服務端對數據在進行一次過濾和類型轉換。

2.連接數據庫時,使用預編譯語句。

 

XSS、CSRF、SQL注入原因分析,危害,解決方案

標簽:警告   NPU   驗證   舉例   erer   dog   http請求   cookie   取出   

原文地址:https://www.cnblogs.com/shuniuniu/p/11951723.html

(0)
(0)
   
舉報
評論 一句話評論(0
登錄后才能評論!
? 2014 mamicode.com 版權所有 京ICP備13008772號-2
迷上了代碼!
公式规律下期单双