(1).跨站指令碼攻擊(xss)。
常見解決辦法:確保輸出到html頁面的資料以html的方式被轉義
(2).跨站請求偽造攻擊(csrf)。
採用post請求,增加攻擊的難度.對請求進行認證,確保該請求確實是使用者本人填寫表單並提交的
(3).cookie攻擊。
在cookie上打上httponly的標記
(4).重定向攻擊。
解決方案是白名單,將合法的要重定向的url加到白名單中;
第二種解決方案是重定向token,在合法的url上加上token,重定向時進行驗證
(5)sql注入。
解決:過濾sql需要的引數中的敏感字元,禁用資料庫伺服器的xp_shell儲存過程,刪除相應的dll,遮蔽伺服器異常資訊。
Web常見的攻擊手段
type text name name value 當輸入的內容為 alert hello script 最終的效果為 type text name name value alert hello script 這時候就會彈出來hello。這樣的惡作劇還好,如果是獲取使用者賬號密碼的的指令碼呢,那樣的...
常見的web攻擊手段
xss 跨站指令碼攻擊 當使用者在表達輸入一段資料後,提交給服務端進行持久化。如果此使用者輸入的是一段指令碼語言,而服務端 使用者輸入的資料沒有經過轉碼 校驗等就存入了資料庫,在其他頁面需要展示此資料時,就會執行此使用者輸入的語言。簡單來說,js的強大不用我來解釋吧 對使用者輸入的資訊進行轉義,例如...
常見web攻擊手段總結
xss 就是攻擊者在 web 頁面中插入惡意指令碼,當使用者瀏覽頁面時,促使指令碼執行,從而達到攻擊目的。xss 的特點就是想盡一切辦法在目標 上執行第三方指令碼。舉個例子。原有的 有個將資料庫中的資料顯示到頁面的上功能,document.write data from server 但如果伺服器沒...