常见安全问题 跨站脚本攻击XSS 跨站请求伪造攻击CSRF 前端Cookies安全性 点击劫持攻击 传输过程安全问题 用户密码安全问题 SQL注入攻击 XSS(Cross Site Scripting)跨站脚本攻击介绍 什么是XSS web攻击的一种,通过对网页注入可执行代码(html代码或JS代码 ...
分类:
其他好文 时间:
2019-12-25 20:25:51
阅读次数:
85
本文通过搭建简单的Node.js后台应用,简要介绍了手动SQL注入的原理,随后利用搜索引擎锁定目标网站,对目标网站进行了SQL注入攻击并将过程记录了下来。 ...
分类:
数据库 时间:
2019-12-20 18:18:06
阅读次数:
110
针对web攻击模式有2种 主动攻击 被动攻击 主动攻击:攻击者直接访问web应用,把攻击代码传入的攻击模式.代表的有SQL注入攻击和OS命令注入攻击 被动攻击:被动攻击(passive attack)是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程中,攻击者不直接对目标 Web 应用访问发起攻 ...
分类:
Web程序 时间:
2019-12-04 17:13:39
阅读次数:
227
1,本节主要讲了sql注入防范,如果使用mybatis,需要注意mapper.xml里面$会造成sql注入风险。 第一个 api 代码:https://github.com/lhy1234/springcloud-security/tree/master/nb-user-api ,这里就不粘贴代码了 ...
分类:
编程语言 时间:
2019-11-27 23:20:02
阅读次数:
120
前言: MSSQL注入攻击是最为复杂的数据库攻击技术,由于该数据库功能十分强大,存储过程以及函数语句十分丰富,这些灵活的语句造就了新颖独特的攻击思路。 MSSQL的显错注入操作: 以联合查询为例: 猜字段 联合查询:union all 猜出输出点使用null填充 注释只有 +、 a 没有 查询系统库 ...
分类:
数据库 时间:
2019-11-26 22:34:26
阅读次数:
200
主动攻击 SQL注入攻击 OS命令注入攻击 会话劫持 被动攻击 XSS攻击 CSRF攻击 HTTP首部注入攻击 会话固定攻击 一、主动攻击 1.SQL注入攻击 什么是SQL? SQL是用来操作关系型数据库管理系统的数据库语言,可进行操作数据或定义数据等。 什么是SQL注入? SQL注入是指针对Web ...
分类:
Web程序 时间:
2019-11-25 20:53:05
阅读次数:
117
1.mybatis中的#{}和${}的区别? 答: 定义:#{}是预编译。 作用:mybatis处理#{}时,sql会将它替换成?,然后调用PreparedStatement的set方法来赋值;还可以防止sql注入。 注释:sql注入是一种注入攻击,可以执行恶意的sql语句。是通过sql代码插入数据 ...
分类:
其他好文 时间:
2019-11-16 23:40:33
阅读次数:
92
对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如: 大理石平台价格 $User = M("User"); // 实例化User对象 $User->find($_GET["id"]); 即便用户输入了一些恶意的id参数,系统 ...
分类:
数据库 时间:
2019-11-12 16:07:58
阅读次数:
105
AWVS简介 WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站 ...
分类:
其他好文 时间:
2019-11-02 15:42:47
阅读次数:
109
1.跨站攻击含义 XSS:(Cross-site scripting)全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他 ...
分类:
Web程序 时间:
2019-10-27 10:28:40
阅读次数:
131