网站 安全 ---- 常见的 web 攻击
网站 安全 ---- 常见的 web 攻击
1 sql 注入(常用的攻击性)(django的orm是做过sql防护处理的)
危害:
非法读取,篡改,删除数据库中的数据
盗取用户的各类敏感信息。获取利益
通过修改数据库来修改网页的内容
注入木马等
原理 :在输入中 加入 sql 语句 一定成立的
def post(self,request):
user_name = request.POST.get('username', '') # 输入 ' OR 1=1 #ahdsahdsadsasad(#表示注释)
user_pwd = request.POST.get('password', '')
import pymysql
conn = pymysql.connect(host='127.0.0.1',port=3306,user='root',password='',db='mxonline',charset='utf8')
cursor = conn.cursor()
sql_select = "SELECT * FROM users_userprofile WHERE email ='{0}' and password = '{1}'".format(user_name,user_pwd)
result = cursor.execute(sql_select)
for row in cursor.fetchall():
if row:
return HttpResponse('登陆成功!')
解决方法:
合法输入 ,不能输入单引号 ' # ;
正则匹配
django 的 orm
excute执行SQL语句的时候,必须使用参数化的方式,否则必然产生SQL注入漏洞。
cursor.execute("SELECT * FROM users_userprofile WHERE email =%s and username = %s",(user_name,user_pwd))
2 xss 攻击 xss跨站脚本攻击 cross site script
危害:
盗取账号,网银,商业价值的资料
非法转账
控制受害者 向其他网站发起攻击
原理:
受害者 -->> 服务器 url 请求信息
服务器 没有对请求信息做验证
http:// www.bank.com/product/list?name=‘alex’</script> ===>> 正常情况 会回显 name的内容给浏览器
http:// www.bank.com/product/list?name=<script>x=document.cookie;alert(x)</script> ===>> 漏洞, 返回 script脚本,给浏览器
可能 把 cookie泄露
xss 完整流程:
用户 --- 服务器有 xss 漏洞
黑客 向客户发送 伪装的请求连接(可能包括获取用户sesson cookie到黑客 服务器上的 js代码 )
用户点击 伪装请求
服务器没有判断(存在漏洞) --执行脚本后 把数据 传给 黑客
黑客 通过session伪装用户 获取用户所有信息
xss 攻击 防护:
首先 对代码中 用户输入的 特殊符号做 过滤
'<' '>' ';' ''
尽量避免 暴露 用户隐私在 cookie中
通过cookie 和 ip绑定,来降低 cookie泄露的危害
尽量 使用 post的表单提交
3 csrf 攻击 跨站请求伪造 cross site request forgery
危害:
以用户名义发送邮件
盗取用户的账号
购买商品
虚拟货币转账
原理:
基本都是post 请求 会存在 账号密码提交时候的隐患
! 用户访问 安全的服务器 A 货币相关
(返回 session ID)
每次请求都会带有session
!! 用户没有登出 A的情况下 访问 不安全的 B 服务器 --- cookie没有失效
!!! B返回 内容 包括 一个危险的 (伪装成图片或者其他)要求 用户访问A的 转账url
<img src=http://www.mybank.com/Transfer/toBankID=11&money=10000>
csrf 攻击防护 增加 csrf 验证 保证每次的post提交都有服务端生成的 csrf
{% csrftoken %}
网站 安全 ---- 常见的 web 攻击的更多相关文章
- 常见的Web攻击手段,拿捏了!
大家好,我是小菜. 一个希望能够成为 吹着牛X谈架构 的男人!如果你也想成为我想成为的人,不然点个关注做个伴,让小菜不再孤单! 本文主要介绍 互联网中常见的 Web 攻击手段 如有需要,可以参考 如有 ...
- web前端安全——常见的web攻击方法
面试题:你所了解的web攻击? 1.xss攻击 2.CSRF攻击 3.网络劫持攻击 4.控制台注入代码 5.钓鱼 6.DDoS攻击 7.SQL注入攻击 8.点击劫持 一.xss攻击 XSS攻击:跨站脚 ...
- 安全|常见的Web攻击手段之CSRF攻击
对于常规的Web攻击手段,如XSS.CRSF.SQL注入.(常规的不包括文件上传漏洞.DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击 ...
- 常见的web攻击方式
跨站脚本攻击(XSS) 概述 跨站脚本攻击(XSS,Cross-site scripting),指攻击者在网页中嵌入恶意脚本程序,是最常见和基本的攻击WEB网站的方法.攻击者在网页上发布包含攻击性代码 ...
- 互联网安全架构之常见的Web攻击手段及解决办法
一.Web 安全常见攻击手段 XSS(跨站脚本攻击) SQL 注入 CSRF(跨站请求伪造) 上传漏洞 DDoS(分布式拒绝服务攻击)等 二.攻击手段原理及解决方案 1.XSS攻击 原理:XSS 攻击 ...
- 常见的web攻击手段
XSS:跨站脚本攻击 -典型实例为: 当用户在表达输入一段数据后,提交给服务端进行持久化.如果此用户输入的是一段脚本语言,而服务端 用户输入的数据没有经过转码.校验等就存入了数据库,在其他页面需要展示 ...
- 常见的web攻击手段总结
xxs攻击(跨站脚本攻击) 攻击者在网页中嵌入恶意脚本程序,当用户打开该网页时脚本程序便在浏览器上执行,盗取客户端的cookie.用户名密码.下载执行病毒木马程 序 解决: 我们可以对用户输入的数据进 ...
- Web常见几种攻击与预防方式
DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击.其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带 ...
- 常见Web攻击及解决方案
DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击.其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带 ...
随机推荐
- TensorFlow学习笔记(二)深层神经网络
一.深度学习与深层神经网络 深层神经网络是实现“多层非线性变换”的一种方法. 深层神经网络有两个非常重要的特性:深层和非线性. 1.1线性模型的局限性 线性模型:y =wx+b 线性模型的最大特点就是 ...
- [Mysql ]TIME ZONE
mysql的时间相关的类型如下: 1. timestamp 时区敏感的 2. date 非时区敏感 3. datetime 非时区敏感 4. time 非时区敏感
- go——方法
方法是与对象实例绑定的特殊函数.方法是面向对象编程的基本概念,用于维护和展示对象的自身状态.对象是内敛的,每个实例都有各自不同的独立特征,以属性和方法来暴露对外通信接口.普通函数则专注于算法流程,通过 ...
- go——工程结构
Go是一门推崇软件工程理念的编程语言,它为开发周期的每个环节都提供了完备的工具和支持. Go语言高度强调代码和项目的规范和统一,这几种体现在工程结构或者说代码体制的细节之处. 1.工作区 一般情况下, ...
- VS2015配置安卓Android和iOS开发环境
http://www.cjjjs.cn/paper/gzsh/627201502818357.aspx [摘要] 本文按照步骤一步步的介绍要下载安装的东西,都提供了下载地址.最后将所有需要的程序都打包 ...
- Java集合(5):HashSet
存入Set的每个元素必须是惟一的,因为Set不保存重复元素.加入Set的元素必须定义equals()方法以确保对象的唯一性.Set不保证维护元素的次序.Set与Collection有完全一样的接口. ...
- canvas笔记1
w3c定义: <canvas> 标签定义图形,比如图表和其他图像. <canvas> 标签只是图形容器,您必须使用脚本来绘制图形. canvas 对象 属性: width he ...
- [转]让你从零开始学会写爬虫的5个教程(Python)
让你从零开始学会写爬虫的5个教程(Python) 写爬虫总是非常吸引IT学习者,毕竟光听起来就很酷炫极客,我也知道很多人学完基础知识之后,第一个项目开发就是自己写一个爬虫玩玩. 其实懂了之后,写个 ...
- 【hihocoder】01背包
描述 且说上一周的故事里,小Hi和小Ho费劲心思终于拿到了茫茫多的奖券!而现在,终于到了小Ho领取奖励的时刻了! 小Ho现在手上有M张奖券,而奖品区有N件奖品,分别标号为1到N,其中第i件奖品需要ne ...
- 介绍Web项目中用到的几款JS日历日期控件和JS文本编辑框插件
第一款日历日期控件:layDate 官方网站:http://laydate.layui.com/ 第二款日历日期控件:my97 官方网站:http://www.my97.net/ 第三款 文本编辑器控 ...