程序员常见的web安全漏洞.pptx

该【程序员常见的web安全漏洞 】是由【相惜】上传分享，beplayapp体育下载一共【24】页，该beplayapp体育下载可以免费在线阅读，需要了解更多关于【程序员常见的web安全漏洞 】的内容，可以使用beplayapp体育下载的站内搜索功能，选择自己适合的beplayapp体育下载，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此beplayapp体育下载到您的设备，方便您编辑和打印。程序员常见的WEB平安漏洞点苍@淘宝-新业务2021-08-,一直被紧盯,经常被攻击影响力–宕机、篡改页面交易–盗取银行账号、钓鱼攻击用户–登录密码以及cookie/refer/–简介SQL注入攻击也俗称黑客的填空游戏定义:攻击者提交恶意SQL并得到执行本质:由于输入检验不充分,导致非法数据被当做SQL来执行特点:很常见,使用数据库的应用多如牛毛多见于小PHP站,–危害字符串填空绕过登录鉴权select*fromuserwherename=‘’or‘1’=‘1’andpw=‘’or‘1’=‘1’执行任意SQL,利用注释,select*fromitemwhreitem=‘’;yoursql--’ 或整型字段,select*fromitemwhereitem_id=0;yoursql;篡改系统账号alterloginsawithpassword=‘123456’用户隐私外泄select*fromuser系统细节外泄select*〞损害硬盘宕机xp_cmdshell“FORMATC:〞t)values(‘’)–防范防止字符串拼SQL,–iBatis1根据彩种ID和彩期名得到一个彩期,inttype=123;Stringtitle=“123〞。结果:select*fromitemwheretype=123andtitle=‘123’$不过滤直接文本替换:select*fromitemwheretype=$type$andtitle=‘$title$’#根据变量类型来替换:select*fromitemwheretype=#type#andtitle=#title#尽量使用#,防止使用$–iBatis2尽量使用#,防止使用$假设不能防止$,那么带上元数据标识SQL中需要用户提交的ASC、DESC等SQL关键字select*fromuserorderbygmt_create?$ordertype:SQLKEYWORD$SQL中需要用户提交的字段名、表名等元数据select*fromuserorderby$orderByColumn:METADATA$–iBatis3尽量使用#,防止使用$假设不能防止$,那么带上元数据标识用迭代替换IN关键字中的$intorderStatus={0,1,2,3}?????????????????List?orders?=?(“",?orderStatus);????select?*?from?order?where?order_status?in???????????????????????#orderStatus[]#??????????????–简介Cross-SiteScripting,跨站脚本攻击定义:攻击者在页面里插入恶意脚本,当用户浏览该页时,嵌入其中的恶意代码被执行,从而到达攻击者的特殊目的实质:用户提交的HTML代码未经过滤和转义直接回显特点:攻击授信和未授信用户,不直接攻击效劳器很常见,例如贴图、AJAX回调、富文本〔如评论留言〕恶意脚本可能位于跨站效劳器,但必须用户浏览器执行,最暴力的防范就是禁用JS脚本整理课件