sql注入 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 如何防止: 1,php.ini中,设置magic_quotes_gpc = on,这个默认是off,如果它打开后将自动把用户提交对sql的查询进行转换。如果magic_qu ...
分类:
数据库 时间:
2019-09-16 16:10:57
阅读次数:
106
之前介绍过csrf攻击,那个是通过编写恶意页面来通过跨域请求来调用用户的api 现在介绍的是xss攻击,这种攻击和csrf不同的是,恶意脚本是注入到了用户要访问页面的本身,而不是一个恶意页面 xss攻击按攻击方式可以分为2类:通过url和通过数据库 1.非持久性(一般通过url) 举个栗子: 正常发 ...
分类:
其他好文 时间:
2019-09-04 09:57:08
阅读次数:
80
csrf 是跨站点伪造请求,主要利用发请求,浏览器每次都会自动带上 cookie 这个特点。 下面我们看看例子: 例子一: 如果博客园有一个关注博主的api是get请求的话,那这里我新建一个恶意页面: 在访问这个页面那一瞬,img就会跨域get请求这个api,你不知不觉间同时也像博客园这个接口发送了 ...
分类:
其他好文 时间:
2019-09-04 09:52:01
阅读次数:
63
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名 ...
分类:
其他好文 时间:
2019-08-22 01:20:41
阅读次数:
369
CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B ...
分类:
其他好文 时间:
2019-08-19 09:34:14
阅读次数:
68
1、什么是CSRF攻击? CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写\ Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是 ...
分类:
其他好文 时间:
2019-08-12 00:51:08
阅读次数:
100
浏览器同源策略:同源指协议、域名、端口皆相同 使用同源策略的原因:出于安全考虑,主要时为了防止CSRF攻击【利用用户的登录专改发起恶意请求】 =>跨域主要时为了阻止用户读取到另一个域下的内容 请求跨域的结果是,请求被发送出去了,但是相应被浏览器拦截了。 跨域的几种方式: JSONP(JSON wit ...
分类:
其他好文 时间:
2019-08-11 13:29:01
阅读次数:
68
同源策略 浏览器同源策略:同源指协议、域名、端口皆相同 使用同源策略的原因:出于安全考虑,主要时为了防止CSRF攻击【利用用户的登录专改发起恶意请求】 =>跨域主要时为了阻止用户读取到另一个域下的内容 请求跨域的结果是,请求被发送出去了,但是相应被浏览器拦截了。 跨域的几种方式: JSONP(JSO ...
分类:
其他好文 时间:
2019-08-11 13:04:11
阅读次数:
87
TOKEN验证防止CSRF攻击的原理。CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动。比如说是以我们的身份进行转账,发送邮件等操作。 要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以真正的掌握预防的手段。CSRF攻击的原理是这样 ...
分类:
其他好文 时间:
2019-08-03 17:35:37
阅读次数:
195
CSRF全程 Cross Site Request Forgery, 跨站域请求伪造.这种攻击方式相对于XSS,SQL注入等攻击方式比较晚被发现,今天就来讲解下这种攻击方式以及避免方式. 攻击过程 假设abc用户登录银行的网站进行操作, 同时也访问了攻击者预先设置好的网站. abc点击了攻击者网站的 ...
分类:
其他好文 时间:
2019-07-22 23:57:57
阅读次数:
218
