起因:
1、http 請求有get與post方式,get最大資料為2kb,而post沒有限制。
2、get方式只能是ascii字元,中文要進行轉義
加密:1、傳入的資料進行md5加密(王小雲破解部分)
2、url_encode對url進行加密,轉碼
(1)escape() 空格,標點符號,非ascii碼 轉成%+十六進製制的形式,(@ + /*)
(2)encodeuri()採用utf-8轉成escape格式的字串(& ? = ! $ () :/ + @)
(3)encodeuricomponent() 採用utf-8轉成escape格式與(2)相比,將更多的字元進行 轉碼,如"/"所以不能對url進行轉,不會轉的有(! * ())
3、base64 電子郵件或網頁
原理:把每3個8位的字元轉成4個6位的字元(3*8 = 4*6),對6位再添高二位,組成8位,
轉換後比原來長1/3
工具:winhex檢視資料報
型別:1、xss,跨站點攻擊,被動示攻擊 主動式稱為xss木馬攻擊(訪問別的站點)
2、storexss 儲存檔案
3、dom-basic xss
應用:1、 獲取使用者的cookie document.cookie
2、 隱藏自身iframe
web安全問題彙總
web 安全問題總結 一,資料庫安全性 1,mssql資料庫安全性 l web中不允許使用sa級的使用者連線資料庫 解決方法 2,access資料庫安全性 解決方法 u 第一步 新建乙個表。u 第二步 在表中建乙個字段,名稱隨意,型別是ole物件,然後用asp 向字段中新增一條記錄寫入單位元組的 為...
web安全問題 csrf
1.原理 使用者登入a a 確認身份 b 向a 發起請求 帶a 身份 cookie會保留在網頁中 2.csrf攻擊危害 www.a.com前端 www.a.com後端 www.b.com前端 www.a.com後端 b 向a 請求帶a cookies 不訪問a 前端 refer為b 1.cookie...
網易web安全 課後問題 CSRF
利用使用者已經登入的身份,在使用者毫不知情的情況下,以使用者的名義完成非法操作 使用者登入web 此時瀏覽器含有使用者登入資訊 黑客構造惡意 使用者主動訪問惡意網頁,轉賬到黑客使用者。真正完成轉賬的關鍵在於 瀏覽器cookie存放有使用者的登入憑證,當瀏覽器傳送請求時,會繼續帶上已有的cookie,...