什麼是SQL隱碼攻擊、XSS以及CSRF?【網路安全知識培訓】

老男孩IT教育機構發表於2021-10-08

  想必很多人都看到過SQL隱碼攻擊、XSS以及CSRF這三個詞,但大部分人對它根本不瞭解,甚至不知道其含義是什麼。接下來,小編為大家詳細介紹一下什麼是SQL隱碼攻擊、XSS以及CSRF?不知道的人快來看看吧。

  SQL隱碼攻擊

  SQL隱碼攻擊屬於注入式攻擊,這種攻擊是因為在專案中沒有將程式碼與資料隔離,在讀取資料的時候,錯誤的將資料作為程式碼的一部分執行而導致的。

  如何處理SQL隱碼攻擊情況?三個方面:

  1、過濾使用者輸入引數中的特殊字元,降低風險;

  2、禁止透過字串拼接sql語句,嚴格使用引數繫結來傳入引數;

  3、合理使用資料庫框架提供的機制。

  XSS

  XSS,跨站指令碼攻擊,Cross-Site Scripting,為了和前端的CSS避免重名,簡稱為XSS,是指透過技術手段,向正常使用者請求的HTML頁面中插入惡意指令碼,執行。

  這種攻擊主要是用於資訊竊取和破壞等目的。在防範XSS上,主要就是透過對使用者輸入的資料做過濾或者或者轉義,可以使用框架提供的工具類HTML Util,另外前端在瀏覽器展示資料的時候,要使用安全的API展示資料。比如使用inner text而不是inner HTML。

  CSRF

  跨站請求偽造,在使用者並不知情的情況下,冒充使用者傳送請求,在當前已經登入的Web網站上執行惡意操作,比如惡意發帖,修改密碼等。

  大致來講,與XSS有重合的地方,前者是駭客盜用使用者瀏覽器中的登入資訊,冒充使用者去執行操作;後者是在正常使用者請求的HTML中放入惡意程式碼,XSS問題出在使用者資料沒有轉義,過濾;CSRF問題出現在HTTP介面沒有防範不守信用的呼叫。

  防範CSRF漏洞方式:

  1、CSRF Token驗證,利用瀏覽器的同源限制,在HTTP介面執行前驗證Cookie中的Token,驗證透過才會繼續執行請求。

  2、人機互動,比如簡訊驗證碼、介面的滑塊等。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2794943/,如需轉載,請註明出處,否則將追究法律責任。

相關文章