sql注入:
***
通過技術手段,利用網站安全漏洞把服務器數據庫中的數據全部或部分獲取;網站越大,用戶信息越多,***的影響越大,危害越大
撞庫
很多用戶在登錄不同網站時爲了圖方便好記,往往喜歡用統一的用戶名和密碼,***把***取得的用戶名及密碼跟網絡銀行、支付寶、淘寶等有價值的網站進行匹配登錄,這就是“撞庫”
爆破
俗稱“暴力破解”或“爆破”,對已知的用戶名,使用密碼字典庫暴力嘗試、破解用戶密碼;如果網站不限制密碼重試次數,被爆破成功的概率較高
· 這裏的***,就是我們平時所說的sql注入,利用前端和後臺的疏忽,將後臺數據庫中的數據全部拖出
解決辦法:
1. 不要信任用戶的輸入,對用戶的輸入進行校驗
正則校驗、長度限制、特殊字符轉碼(' --)
2. 不要使用動態拼接SQL
參數化sql、類型判定
3. 不要使用管理員權限的數據庫連接
爲每個應用開放有限的獨立權限
4. 數據庫機密信息不要明文存儲 加密、hash
5. 異常信息不要直接返回給用戶
使用自定義的錯誤信息進行包裝
跨站腳本***(Cross Site Scripting)
這裏解釋一下,因爲跨站腳本***的縮寫是CSS,爲了與CSS區分,所以這裏縮寫爲XSS
***者向web頁面裏插入惡意html代碼 用戶瀏覽該頁之時,嵌入其中的html代碼會被執行 通常以獲取用戶cookie爲目的 注入內容以javascript爲主
xss又分反射型和存儲型,兩者原理類似
反射型xss的特點是請求即執行;而存儲型xss的特點是先存儲,再執行;
大概過程可以用一張圖概括
解決辦法:
內容過濾:過濾關鍵字 "javascript..."
轉碼:分號、<>...
Cookie屬性:Secure、http-only
失效的身份認證和會話管理
· 這類問題細分起來種類繁多,舉幾個有代表性的吧
web應用在開發時,可能存在爲了實現需求而自定義身份認證方式或會話管理方式,例:會話id存在url中,這樣如果直接copy別人的url,那麼可以直接使用這個人的賬戶信息;用戶名、密碼等信息cookie未設置過期時間,那麼當他人登錄同一客戶端時,也可能會直接使用他人賬戶;
解決辦法:
避免未經授權訪問會話狀態
限制會話壽命
對身份驗證 cookie 的內容進行加密
不要在網絡上以純文本形式發送密碼