网站 安全 ---- 常见的 web 攻击

1 sql 注入(常用的攻击性)(django的orm是做过sql防护处理的)

危害:

    非法读取,篡改,删除数据库中的数据

    盗取用户的各类敏感信息。获取利益

    通过修改数据库来修改网页的内容

    注入木马等

原理 :在输入中 加入 sql 语句 一定成立的

        def post(self,request):

            user_name = request.POST.get('username', '')  # 输入 ' OR 1=1 #ahdsahdsadsasad(#表示注释)

            user_pwd = request.POST.get('password', '')

            import pymysql

            conn = pymysql.connect(host='127.0.0.1',port=3306,user='root',password='',db='mxonline',charset='utf8')

            cursor = conn.cursor()

            sql_select = "SELECT * FROM users_userprofile WHERE email ='{0}' and password = '{1}'".format(user_name,user_pwd)

            result = cursor.execute(sql_select)

            for row in cursor.fetchall():

                if row:

                    return HttpResponse('登陆成功!')

解决方法:

    合法输入 ,不能输入单引号 ' # ;

    正则匹配

    django 的 orm

    excute执行SQL语句的时候,必须使用参数化的方式,否则必然产生SQL注入漏洞。

        cursor.execute("SELECT * FROM users_userprofile WHERE email =%s and username = %s",(user_name,user_pwd))

2 xss 攻击 xss跨站脚本攻击 cross site script

危害:

    盗取账号,网银,商业价值的资料

    非法转账

    控制受害者 向其他网站发起攻击

原理:

    受害者 -->> 服务器 url 请求信息

    服务器 没有对请求信息做验证

        http:// www.bank.com/product/list?name=‘alex’</script>  ===>>  正常情况 会回显 name的内容给浏览器

        http:// www.bank.com/product/list?name=<script>x=document.cookie;alert(x)</script> ===>> 漏洞, 返回 script脚本,给浏览器

        可能 把 cookie泄露

xss 完整流程:

    用户 --- 服务器有 xss 漏洞

    黑客 向客户发送 伪装的请求连接(可能包括获取用户sesson cookie到黑客 服务器上的 js代码 )

    用户点击 伪装请求

    服务器没有判断(存在漏洞) --执行脚本后 把数据 传给 黑客

    黑客 通过session伪装用户 获取用户所有信息

xss 攻击 防护:

    首先  对代码中 用户输入的 特殊符号做 过滤

        '<' '>' ';' ''

    尽量避免 暴露 用户隐私在 cookie中

    通过cookie 和 ip绑定,来降低 cookie泄露的危害

    尽量 使用 post的表单提交

3 csrf 攻击 跨站请求伪造 cross site request forgery

危害:

    以用户名义发送邮件

    盗取用户的账号

    购买商品

    虚拟货币转账

原理:

基本都是post 请求 会存在 账号密码提交时候的隐患

   ! 用户访问 安全的服务器 A 货币相关

    (返回 session ID)

    每次请求都会带有session

   !! 用户没有登出 A的情况下 访问 不安全的 B 服务器  --- cookie没有失效

   !!! B返回 内容 包括 一个危险的  (伪装成图片或者其他)要求 用户访问A的 转账url

<img src=http://www.mybank.com/Transfer/toBankID=11&money=10000>

csrf 攻击防护 增加 csrf 验证 保证每次的post提交都有服务端生成的 csrf

    {% csrftoken %}

网站 安全 ---- 常见的 web 攻击的更多相关文章

  1. 常见的Web攻击手段,拿捏了!

    大家好,我是小菜. 一个希望能够成为 吹着牛X谈架构 的男人!如果你也想成为我想成为的人,不然点个关注做个伴,让小菜不再孤单! 本文主要介绍 互联网中常见的 Web 攻击手段 如有需要,可以参考 如有 ...

  2. web前端安全——常见的web攻击方法

    面试题:你所了解的web攻击? 1.xss攻击 2.CSRF攻击 3.网络劫持攻击 4.控制台注入代码 5.钓鱼 6.DDoS攻击 7.SQL注入攻击 8.点击劫持 一.xss攻击 XSS攻击:跨站脚 ...

  3. 安全|常见的Web攻击手段之CSRF攻击

    对于常规的Web攻击手段,如XSS.CRSF.SQL注入.(常规的不包括文件上传漏洞.DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击 ...

  4. 常见的web攻击方式

    跨站脚本攻击(XSS) 概述 跨站脚本攻击(XSS,Cross-site scripting),指攻击者在网页中嵌入恶意脚本程序,是最常见和基本的攻击WEB网站的方法.攻击者在网页上发布包含攻击性代码 ...

  5. 互联网安全架构之常见的Web攻击手段及解决办法

    一.Web 安全常见攻击手段 XSS(跨站脚本攻击) SQL 注入 CSRF(跨站请求伪造) 上传漏洞 DDoS(分布式拒绝服务攻击)等 二.攻击手段原理及解决方案 1.XSS攻击 原理:XSS 攻击 ...

  6. 常见的web攻击手段

    XSS:跨站脚本攻击 -典型实例为: 当用户在表达输入一段数据后,提交给服务端进行持久化.如果此用户输入的是一段脚本语言,而服务端 用户输入的数据没有经过转码.校验等就存入了数据库,在其他页面需要展示 ...

  7. 常见的web攻击手段总结

    xxs攻击(跨站脚本攻击) 攻击者在网页中嵌入恶意脚本程序,当用户打开该网页时脚本程序便在浏览器上执行,盗取客户端的cookie.用户名密码.下载执行病毒木马程 序 解决: 我们可以对用户输入的数据进 ...

  8. Web常见几种攻击与预防方式

    DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击.其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带 ...

  9. 常见Web攻击及解决方案

    DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击.其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带 ...

随机推荐

  1. Python Parameter Passing Note

    我刚刚开始学习Python, Python中的参数传递总是让我很困惑.我写了4个简单的Demo,帮助我理解Python的参数传递,希望对大家都能有所帮助. 0: def change(x): x = ...

  2. Java io流详解一

    原文地址http://www.cnblogs.com/xdp-gacl/p/3634409.html java基础学习总结——流 一.JAVA流式输入/输出原理

  3. beego——构造查询

    QueryBuilder提供了一个简单.流畅的SQL查询构造器.在不影响代码可读性的前提下用来快速的建立SQL语句. QueryBuilder在功能上与ORM重合,但是个由利弊,ORM更适合用于简单的 ...

  4. beego——控制器函数

    基于beego的Controller设计,只需要匿名组合beego.Controller就可以,如下所示: type xxxController struct { beego.Controller } ...

  5. PAT 天梯赛 L1-048. 矩阵A乘以B 【数学】

    题目链接 https://www.patest.cn/contests/gplt/L1-048 题意 给出两个矩阵,先判断两个矩阵能不能相乘,如果可以,就输出相乘 结果,如果不行 则按格式输出erro ...

  6. Kotlin学习记录3

    参考我的博客:http://www.isedwardtang.com/2017/09/04/kotlin-primer-3/

  7. hadoop12---java并发编程的一些总结

    java并发编程的一些总结 %.1.不应用线程池的缺点 有些开发者图省事,遇到需要多线程处理的地方,直接new Thread(...).start(),对于一般场景是没问题的,但如果是在并发请求很高 ...

  8. 【Head First Servlets and JSP】笔记24:include指令与include动作 & param动作 & foward动作

    include指令与include动作 1.样例代码 <%@ page contentType="text/html;charset=UTF-8" language=&quo ...

  9. mac下Appium环境配置

    一.Appium环境搭建 1.xcode(需要OS X版本支持): 下载对应版本的xcode(支持对应手机系统),解压,拖入应用程序. xcode下载地址:https://developer.appl ...

  10. curator的版本兼容问题(需注意)

    Curator 存在版本兼容问题. Curator 2.x.x-兼容两个zk 3.4.x 和zk 3.5.x, Curator 3.x.x-兼容兼容zk 3.5. Versions The are c ...