大家好,在前面两个小节中,我们对网络协议相关的知识点做了简单的介绍。本小节是网络协议篇的最后一节,主要介绍和Web开发相关的安全漏洞,包括XSS跨站脚本攻击,CSRF跨站请求伪造,SSRF服务端请求伪造以及SQL注入漏洞等。
XSS,CSRF以及SSRF,SQL注入都是Web开发中最为常见的攻击手段,日常开发中,我们必须采取有效的防御措施。所以,让我们来一起看看常见Web安全漏洞的相关技术原理吧~
(1)XSS跨站脚本攻击:
答:XSS (Cross-Site Scripting)跨站脚本攻击是一种常见的安全漏洞,恶意攻击者在用户提交的数据中加入一些代码,将代码嵌入到了Web页面中,从而可以盗取用户资料,控制用户行为或者破坏页面结构和样式等。为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSS。
最简单的就是当我们提交一个查询后弹出一个alert页面,却无论如何都关不掉,这就是发生了XSS跨站脚本攻击。
XSS产生原因:
XSS产生的原因是过于信任客户端的数据,没有做好过滤或者转义等工作。如果客户端上传的数据中插入一些符号以及javascript代码,那么这些数据将会成为应用代码中的一部分了,这样就造成了XSS攻击。
XSS分类:
- 存储型:攻击者将恶意代码存储到了数据库中,在响应浏览器请求的时候返回
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)