网站开发中的安全问题

开发网站,常见的网站安全问题有下面这些。

一、SQL注入。

它利用网站的漏洞,使用一些特别的SQL语句,执行具有破坏性的SQL语句。例如:

SELECT COUNT(*) FROM user WHERE username='cg' AND password='123456' OR 1=1'; (1-1)

当用户在登录页面填写username为cg,密码输入框填写123456' OR 1=1时,就产生了(1-1)中的SQL语句。它虽然提供的是错误的用户信息,却能够登录网站。

在PHP中,要防止SQL注入,使用mysql_real_escape_string($string)转义用于SQL语句中的字符串即可。mysql_escape_string($string)具有同样的作用,区别在于mysql_real_escape_string接受的是一个连接句柄、并且根据当前字符集转义字符串。

如果使用的是PDO之类的与mysql交互的方法,使用绑定参数即可避免SQL注入。

这些方法的实质,是将SQL语句中的特殊字符转义,避免它们破坏SQL语句构建新的具有破坏性的SQL语句。这些特殊字符主要是指单双引号。

二、XSS

XSS,中文名叫跨站脚本攻击。通过在网页中嵌入一段恶意JS脚本来实现攻击目的。

<form action="server.php" method="post">
<input type="text" name="content" />
<input type="submit" value="Submit" />
</form>
(2-1)

恶意用户在表单中输入下面内容:

<script type='text/javascript'>
alert('Hello,world!');
</script>
(2-2)

若处理表单提交的服务端代码server.php对用户输入原样接收,(2-2)代码会以合法的能执行的JS代码存储起来。当包含(2-2)代码的页面被打开的时候,这段JS代码就会执行。

这段JS代码无破坏性,仅仅演示了发起XSS攻击的最基本方法。

防范XSS攻击,只需对尖括号(<、>)、单双引号转义。

三、伪造脚本攻击

它也是利用JS进行攻击。举一个简单的例子。在伪造脚本攻击中,存在三个因素:恶意站点A,安全站点B,用户C。用户C访问安全站点B,并且登录。在没有退出登录的情况下,用户C访问了站点A。站点A提供了一链接

http://siteB.com?giveMoneyTo=1234567&money=10000 (3-1)

giveMoneyTo=1234567&money=10000表示向帐号123456转账10000。(3-1)可能会以被模糊处理后以正常URL出现。一旦用户C点击该链接,站点B会认为是用户C发出的合法转账请求,执行转账操作。

防范这种伪造攻击,在浏览器设置httponly,在站点需使用更安全的请求验证。

三、DDos

DDos,中文名叫分布式拒绝服务攻击。DDos,通过向目标网站发送大量的访问请求,远远超过目标网站能够承受的访问请求,导致目标网站瘫痪或拒绝服务。

发起攻击使用的流量,可以来自攻击者捕获的大量肉鸡(被害电脑),也可以来自大量的代理IP。

由于硬件技术的高度发展,旧的单纯依靠大流量拖垮目标网站的攻击方法已经难以凑效。目前流行的攻击方式分为三种。

(A)利用TCP/IP发起攻击。

这种攻击利用了TCP/IP协议,客户端和服务器三次握手的原理。

第一次握手:客户端向服务器发送请求。

第二次握手:服务器回应客户端请求,告诉客户端它已经接受请求、准备发送数据。

第三次握手:客户端向服务器发送数据,告知服务器它已经做好接收数据的准备。

在第三次握手中,攻击者控制客户端不回应服务器,服务器不断向这些未回应的客户端发送数据。随着不回应服务器的客户端越来越多,超出了服务器能够提供服务的客户端数目,新的正常的客户端请求不会得到回应。

(B)利用DNS解析发起攻击。

使用大量并不存在的域名向目标网站发起请求,DNS服务器会试图解析这些虚假域名,层层上报,直达全球那几台根DNS解析服务器。

(C)伪装正常用户干扰目标网站正常流程迫使目标网站误杀真正的正常用户发起攻击。

攻击者在电商网站下许多单后,迟迟不付款;超过订单锁定时间后,又下许多订单。这将会使网站的大量订单被锁定,正常用户无法下单。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,530评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,403评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,120评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,770评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,758评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,649评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,021评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,675评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,931评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,751评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,410评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,004评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,969评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,042评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,493评论 2 343

推荐阅读更多精彩内容