几种常见的网络安全攻击
XSS攻击:跨站脚本攻击。攻击者一般通过script标签对网站注入一些可执行的代码片段,而html没有明确区分代码和数据致使客户端执行了危险代码(可能改数据、删数据、获取数据等),一旦攻击成功就打破了安全护城河,攻击者可以随意进行更加严重的攻击,比如sql注入,劫持,埋点钓鱼等,预防xss攻击的方法是过滤从表单来的数据。
SQL注入:是通过把SQL命令插入到表单提交数据中或输入域名或页面请求的查询字符串,达到欺骗服务器执行恶意的SQL攻击。因此,要对用户输入的内容时刻保持警惕,只有客户端的验证等于没有验证,不要把服务器错误信息暴露给用户。预防措施:对sql语句进行过滤,比如delete update insert select * 或者使用PDO占位符进行转义。
CSRF:跨站请求伪造,攻击者通过各种方法伪造一个请求,模仿用户提交表单,从而达到修改用户信息的作用。助记场景,client访问A站会在client中存有A站对应的cookie,此时,client又访问危险站点B,B站能够通过一些特殊手段要求client请求A站做一些破坏本账号信息的操作或者其他,从而达成攻击。
上一篇:
Java架构师技术进阶路线图
下一篇:
IP地址及相关计算方法知识