web安全 - HopeXKelvin/HopeXKelvin.github.io GitHub Wiki
web安全漏洞
-
SQL注入漏洞
-
原因:
后端获取参数后,直接就拼接成了sql语句去做数据库操作,这样会出现注入漏洞
-
防御方法:
- 最直接的办法是过滤关键字
- 自建WAF
- 参数化查询/预编译(数据与指令分离原则)【推荐】
-
-
XSS攻击
-
原因:
页面恶意引入了外部的代码,即在用户输入的地方,输入了非法的script代码
-
防御方法:
- 过滤输入,过滤特殊字段
- 进行编码(输入编码或者输出编码)
- 设置cookie,HttpOnly
-
-
CSRF跨站请求伪造漏洞
-
原因:
恶意截取用户登陆信息,在进行伪造跨站请求数据
-
防御方法:
- 敏感请求使用post,并在请求中添加csrf_token字段,可在表单中隐藏该字段
-