webservice是什么意思webservice是什么意思中文翻译

投稿用户 创业资讯 阅读 174

在学习网络安全之前,你必须先了解一个组织——OWASP。OWASP它是一个致力于应用软件安全研究的开源和非盈利的全球安全组织。我们根据组织发布的技术文件学习相关的网络攻击原理和预防措施,web安全核心是永远不要相信用户传递的数据:

webservice是什么意思webservice是什么意思中文翻译

常见的 web 攻击方法如下:

1. google hack

2. 网页爬虫

3. 暴力猜解

4. web 漏洞扫描

5. 使用错误信息

6. 用服务器配置漏洞

7. 上传下载文件

8. 恶意输入结构(sql注入攻击、命令注入攻击、跨站脚本攻击等。

9. http 协议攻击

10. 拒绝服务攻击

11. 使用其他攻击(web service、flash 、ajax 等)

1. sql 注入攻击

1.1 简单注入

1. 例如,我们的后台有这样的查询sql:

SELECT * from user_info WHERE id=

然后我们可以修改前端值:-1 or 1=1 查询所有数据,其中-1表示永远不可能存在数据。

2. 字符串注入方式:绕道通过注释字符实现

由于# / –通常,在输入用户名时可以添加#,然后输入任何密码,以便以后查询密码sql 注释后,直接绕过密码验证登录;

webservice是什么意思webservice是什么意思中文翻译

因此,前后输入框格式的绝对验证验证。此外,严禁严格禁止sql必须使用拼接占位符

2. XSS攻击

跨站脚本攻击是一种代码的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时会受到影响;将用户输入的数据视为html句子放在页面上执行

2.1 反射性XSS攻击

定义 —— 当页面发出请求时,XSS代码出现在URL服务器端解析后作为输入提交响应,XSS代码随响应内容传回浏览器,最后浏览器分析执行XSS代码。

demo 如下:

webservice是什么意思webservice是什么意思中文翻译

webservice是什么意思webservice是什么意思中文翻译

访问项目时添加 xss 以下页面将显示参数:

webservice是什么意思webservice是什么意思中文翻译

我们将 xss 改变值url拼接js脚本 以下界面框将弹出。这种攻击的前提是必须在页面上分析地址中的参数。如果不分析,这种攻击方法将毫无意义。

webservice是什么意思webservice是什么意思中文翻译

这种攻击包括三种方式:

  1. 主动攻击:以上加img标签是主动攻击。
  2. 若参数值为:<p onclick="alert('点我了')">点我</p>,这种引诱用户点击的攻击是引诱攻击。
  3. iframe方果参数值为:<iframe src="//baidu.com/t.HTML"></iframe>,然后将网站直接渲染到页面。

2.1 存储性XSS攻击

1. 假设这是一个交流论坛,一个页面上有消息的文本输入框,我们将攻击性脚本写入文本框,然后提交给服务端。脚本意思是获取客户端cookie,并发送到指定地址)。

webservice是什么意思webservice是什么意思中文翻译

2. 后台服务已经将我们提交的数据存储到数据库中。当其他用户在自己的计算机上登录该网站时,服务器把我们写进攻击性的XSS渲染脚本信息HTML页面,使用户页面中的页面cookie将信息发送到我们预留的网站。

3.接下来,我们可以用这个人cookie该网站上的信息替换了他的一系列操作;一个简单的存储类型XSS攻击(cookie欺骗)完成。

针对js获取cookie解决方案:在cookie中设置了HttpOnly属性为true,那么通过js无法读取脚本cookie有效防止信息XSS攻击

2.3 XSS攻击防御措施

1. 转义html: 常用的模板引擎,如 doT.js、ejs、FreeMarker 等,对于 HTML 转义通常只有一个规则,那就是 & < > " ' / 这些字符的转义确实可以起到一定的作用 XSS 防护作用

2. 过滤:正在使用 .innerHTML、.outerHTML、document.write() 小心不要把不可信的数据作为 HTML 插入页面,尽量使用 .textContent、.setAttribute() 等。如果用 Vue或者React不使用技术栈 v-html/dangerouslySetInnerHTML 功能,在前端 render 阶段避免 innerHTML、outerHTML 的 XSS 隐患。DOM 内联事件监听器,如 location、onclick、onerror、onload、onmouseover 等,<a> 标签的 href 属性,JavaScript 的 eval()、setTimeout()、setInterval() 等等,字符串可以作为代码运行。如果不可信的数据拼接到字符串中并传递给这些数据 API,容易产生安全隐患,请避免。

3. 校正:避免直接对HMTL 转换需要更完善的转移策略

webservice是什么意思webservice是什么意思中文翻译

今天的文章就分享到这里,如果你也网赚副业项目感兴趣,可以添加 维信:beng6655  备注:副业

本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 526323532@qq.com 举报,一经查实,本站将立刻删除。
如若转载,请注明出处:https://www.haoxue2.com/13146.html
(0)
投稿用户
0
上一篇 2022年11月19日 pm6:36
下一篇 2022年11月19日 pm8:06

相关推荐