|
7 w) v1 v a7 M6 [# V 1. XSS跨站脚本攻击① XSS漏洞介绍跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。 ; ]0 O% v, w# v' k* ?" Y2 V8 X9 V
XSS攻击针对的是用户层面的攻击!  1 ], c/ T" c2 |& X5 y
② XSS漏洞分类存储型XSS: 存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。
! f- C4 v* ]4 `) C$ ?# N& k# O 这种XSS比较危险,容易造成蠕虫,盗窃cookie  - E, P8 t5 a1 x- Q: _$ Y
反射型XSS: 非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面DOM型XSS: 不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model
: a" [& S1 M( g# ?% @% I: A ,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS③ 防护建议限制用户输入,表单数据规定值得类型,例如年龄只能是int,name为字母数字组合对数据进行html encode处理。
# B9 t6 j/ u: y; i u$ }8 a 过滤或移除特殊的html标签过滤javascript事件的标签2. SQL注入攻击① SQL注入漏洞介绍SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。
- h& M9 ?0 w. Z- E 攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录;关注公众号:码猿技术专栏,回复关键词:1111 获取阿里内部Java性能优化手册!。 ( K0 c/ `2 ^' ?$ w: }
SQL注入漏洞可能会影响使用SQL数据库(如MySQL,Oracle,SQL Server或其他)的任何网站或Web应用程序犯罪分子可能会利用它来未经授权访问用户的敏感数据:客户信息,个人数据,商业机密,知识产权等。
, K/ L/ N' ~% V/ _3 z c0 C SQL注入攻击是最古老,最流行,最危险的Web应用程序漏洞之一②防护建议使用mybatis中#{}可以有效防止sql注入使用#{}时:
- Q2 f$ g: I. k8 z9 O, h9 j
4 a( M& V) Y4 }$ |' L# k. R# Y" j
4 l+ N/ n( H$ F! N | 
