记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

什么是SQL注入、XSS以及CSRF?【网络安全知识培训】

2021-11-11 15:03

  想必很多人都看到过SQL注入、XSS以及CSRF这三个词,但大部分人对它根本不了解,甚至不知道其含义是什么。接下来,小编为大家详细介绍一下什么是SQL注入、XSS以及CSRF?不知道的人快来看看吧。

  SQL注入

  SQL注入属于注入式攻击,这种攻击是因为在项目中没有将代码与数据隔离,在读取数据的时候,错误的将数据作为代码的一部分执行而导致的。

  如何处理SQL注入情况?三个方面:

  1、过滤用户输入参数中的特殊字符,降低风险;

  2、禁止通过字符串拼接sql语句,严格使用参数绑定来传入参数;

  3、合理使用数据库框架提供的机制。

  XSS

  XSS,跨站脚本攻击,Cross-Site
Scripting,为了和前端的CSS避免重名,简称为XSS,是指通过技术手段,向正常用户请求的HTML页面中插入恶意脚本,执行。

  这种攻击主要是用于信息窃取和破坏等目的。在防范XSS上,主要就是通过对用户输入的数据做过滤或者或者转义,可以使用框架提供的工具类HTML
Util,另外前端在浏览器展示数据的时候,要使用安全的API展示数据。比如使用inner text而不是inner HTML。

  CSRF

  跨站请求伪造,在用户并不知情的情况下,冒充用户发送请求,在当前已经登录的Web网站上执行恶意操作,比如恶意发帖,修改密码等。

  大致来讲,与XSS有重合的地方,前者是黑客盗用用户浏览器中的登录信息,冒充用户去执行操作;后者是在正常用户请求的HTML中放入恶意代码,XSS问题出在用户数据没有转义,过滤;CSRF问题出现在HTTP接口没有防范不守信用的调用。

  防范CSRF漏洞方式:

  1、CSRF Token验证,利用浏览器的同源限制,在HTTP接口执行前验证Cookie中的Token,验证通过才会继续执行请求。

  2、人机交互,比如短信验证码、界面的滑块等。

文章来源于互联网:什么是SQL注入、XSS以及CSRF?【网络安全知识培训】


知识来源: https://secvery.com/6701.html

阅读:43564 | 评论:0 | 标签:xss 注入 CSRF SQL 网络安全 安全 网络

想收藏或者和大家分享这篇好文章→复制链接地址

“什么是SQL注入、XSS以及CSRF?【网络安全知识培训】”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求投资、赞助、支持💖

标签云