web安全 - HopeXKelvin/HopeXKelvin.github.io GitHub Wiki

web安全漏洞

• SQL注入漏洞

  • 原因：

    后端获取参数后，直接就拼接成了sql语句去做数据库操作，这样会出现注入漏洞

  • 防御方法：

    • 最直接的办法是过滤关键字
    • 自建WAF
    • 参数化查询／预编译（数据与指令分离原则）【推荐】

• XSS攻击

  • 原因：

    页面恶意引入了外部的代码，即在用户输入的地方，输入了非法的script代码

  • 防御方法：

    • 过滤输入，过滤特殊字段
    • 进行编码（输入编码或者输出编码）
    • 设置cookie，HttpOnly

• CSRF跨站请求伪造漏洞

  • 原因：

    恶意截取用户登陆信息，在进行伪造跨站请求数据

  • 防御方法：

    • 敏感请求使用post，并在请求中添加csrf_token字段，可在表单中隐藏该字段