web常见攻击以及防备
标签: django
sql注入攻击与防范
-
特点
[1] 非法读取、篡改、删除数据库数据
[2] 盗取用户各类敏感信息,获取利益
[3] 修改数据库来修改网上内容
[4] 注入木马
正常的sql查询
select * from users_userprofile where email=...and password = ...
篡改后
select * from users_userprofile where email='' OR 1= 1 # and password = ...
xss攻击与防范
-
cross site scripting 跨站脚本攻击
[1] 盗取各类账户,网银管理员账户
[2] 盗取企业的重要商业秘密
[3] 非法转账
[4] 控制受害机继续攻击其他网站攻击、注入密码
正常网页链接
http://www.bank.com/product/list/?name='iphone6'
篡改后
http://www.bank.com/product/list/?name=<script>x=document.cookie;alert(x);</script>'iphone6'
-
防护
[1] 检查字符长度和'<'>',':','特殊字符
[2] 避免直接cookie存储用户信息,或者通过用户和ip绑定的方式
[3] 尽量才用post提交,而非get提交
csrf攻击与防范
-
cross-site request forgery 跨站请求伪造
[1] 发送邮件
[2] 盗取账户
[3] 购买商品
[4] 虚拟货币转账
- 本篇博客原视频博主[慕课在线教育平台]
- 本篇博客撰写人: XiaoJinZi 转载请注明出处
- 学生能力有限 附上邮箱: 986209501@qq.com 不足以及误处请大佬指责
