1. ;..: SQL 注入是什么?如何防护?
品: SQL 注入就是把 SQL 命令插入 Web 表单、输入域名或页面请求的查询字符串
中,最终达到欺骗服务器执行恶意的 SQL 命令 。
总的来说,有以下几点防护措施 。
( 1 )始终不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式或
限制长度,对羊引号和双“二’进行转换等 。
( 2 )始终不要使用动态拼装 SQL ,可以使用参数化的 SQL 或者直接使用存储过程进
行数据查询与存取 。
( 3 )始终不要使用管理员权限的数据库连接,为每个应用使用单独的权限和有限的
权限数据库连接 。
( 4 )不要把机密信息用明文存放,应通过加密或者散列处理密码和敏感的信息 。
2. :... : xss 攻击是什么?如何防护?
~ : XSS ( Cross Site Sc叩ting )攻击指的是攻击者向 Web 页面里插入恶意 HTML 标
签或者 JavaScript 代码 。 比如 , 攻击者在论坛中放一个看似安全的链接,骗取用户单击
并窃取 cookie 中的用户私 密信 息;或者攻击者在论坛中加一个恶意表羊,当用户才是文表
羊的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站,点 。
要防范 xss 攻击,首先,在代码里对用户输入的地方和支量都需要仔细检查长度和
对“<” “>” “ f’ “’”等字符做过滤 。 其次 , 在把任何内容写到页面之前都必须进行编码,
避免泄露 html tag 。 在这一个层面做好,至少可以防止超过一半 的 xss 攻击 。
3. :..:如何避免 cookie 信息被盗取?
品: 首先,避免直接在 cook i e 中泄露用户隐私,例如 E-ma il 、 密码等 。
其次,使 cookie 和系统 ip 绑定,降低 cookie 泄露后的危险 。 这样攻击者得到的
cookie 没有实际价值 , 不可能拿来重放 。 如果网站不需要在浏览器端对 cookie 进行操作,
可以在 Set-Cookie 末尾加上 HttpOnly 防止 JavaScript 代码直接获取 cookie 。
最后,尽量采用 POST 请求方式而非 GET 请求方式提交表羊 。
4. ..7.: xss 攻击与 CSRF 攻击有什么区别?
品: xss 攻击用于获取信息,不需要提前知道其他用户页面的代码和数据包 。 CSRF攻击用于代替用户完成指定的动作,需要知道其他用户页面的代码和数据包 。
5. :.. :如何防范 CSRF 攻击?
品: 要完成一次 cs盯攻击,受害者必须依次完成两个步骤。
( 1 )登录受信任网站 A,并在本地生成 cookie 。
( 2 )在不登出 A 的情况下,访问危险网站 B 。
防范服务器端的 CSRF 攻击有很多种方法,但总的思想都是一致的,就是在客户端
页面中增加伪随机数 。
6. :.. :你所了解的 Web 攻击技术有哪些?
品:( 1 ) xss 攻击:通过存在安全漏洞的 Web 网站,注册到用户的浏览器内,渲染非法的 HTML 标签或者运行非法的 JavaScript 进行攻击的 一种行为 。
( 2) SQL 注入攻击:通过把 SQL 命令插入 Web 表单、输入域名或页面请求的查询字符串中,最终达到欺骗服务器执行恶意的 SQL 命令 。
( 3) CSRF 攻击:攻击者通过设直陷阱,强制对已完成的认证用户进行非预期的个人信息或设定信息等状态的史新 。
