在http请求报文中载入攻击代码，就能发起对web应用的攻击。通过url查询字段或者表单、http首部、cookie等途径吧攻击代码传入，若这时web应用存在安全漏洞，那内部信息就会遭到窃取！

对web的攻击模式有两种：

主动攻击（主动攻击server）
被动攻击（上传木马程序，用户訪问时触发http陷阱）

实施的安全策略主要分为两步：

client验证
服务端验证（输入值验证。输出值转义）

两种基本的攻击方式

1.SQL注入攻击（php防止方法是使用mysqli_real_escape_string或者addslashes进行输入数据的转义）

2.XSS攻击（运行js代码获取用户的cookie等信息。进行验证。使用strip_tags和htmlspecialchars或者htmlentities）

sql攻击破解

php

$clean = array();
$mysql = array();

$clean['last_name'] = "O'Reilly";
$mysql['last_name'] = mysql_real_escape_string($clean['last_name']);

$sql = "INSERT
INTO user (last_name)
VALUES ('{$mysql['last_name']}')";
?>

mysqli_real_escape_string

(PHP 5)

mysqli::real_escape_string -- mysqli_real_escape_string — Escapes special characters in a string for use in an SQL statement, taking into account the current charset of the connection

尽量使用为你的数据库设计的转义函数。

假设没有，使用函数addslashes()是终于的比較好的方法。

string addslashes ( string $str )

返回字符串。该字符串为了数据库查询语句等的须要在某些字符前加上了反斜线。

这些字符是单引號（'）、双引號（"）、反斜线（\）与 NUL（ NULL 字符）。

htmlspecialchars仅仅是将下列的特殊字符转换成实体。htmlentities是将全部的有实体的html标签转换成相应的实体

'&' (ampersand) becomes '&'
'"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
"'" (single quote) becomes ''' (or ') only when ENT_QUOTES is set.
'<' (less than) becomes '<'
'>' (greater than) becomes '>'

防止xss攻击

//这是一个有xss攻击的php代码xss.php

php

if (isset($_POST['name'])){

// $str = trim($_POST['name']); //清理空格

// $str = strip_tags($str); //去除html标签

// $str = htmlspecialchars($str); //将字符串内容转化成html实体

// $str = addslashes($str);

// echo $str;

echo $_POST['name'];

}

setcookie("aaa",'bbb');

</form>

当我訪问该页面，而且输入框中输入<script>alert(document.cookie);</script>。以下是原始的页面

点击提交之后

点击确定button

注意head内部已经有我们提交的js代码。

假设我们取消代码中的红色的凝视部分。再次运行

web攻击方式和防御方法相关推荐

常见web攻击方式与防御方法
1. 客户端攻击 1.1 跨站脚本攻击(XSS) 跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌.OWASP TOP 10威胁多次把XSS列在榜首. 1.1.1 XSS分类 XSS根据效果的不同可 ...
php攻击方式及防御方法,Syn Flood 攻击及其一般防御方法
防火墙通知受到Syn Flood攻击,并解释说: A SYN Flood is an attempt to consume memory and resources. A Normal TCP/IP ...
xss攻击突破转义_WEB安全之XSS攻击方式与防御方式
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~ XSS 常见攻击方法 1.绕过 XSS-Filter,利用 <> 标签注入 Ht ...
CSRF攻击原理以及防御方法
CSRF攻击原理以及防御方法 CSRF概念:CSRF跨站点请求伪造(Cross-Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份 ...
DDoS的攻击原理与防御方法
DDoS的攻击原理与防御方法不可不知DDoS的攻击原理与防御方法 DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Servic ...
常见的几种web攻击方式及原理
常见的几种web攻击方式 SQL注入攻击重定向攻击上传文件攻击 Dos攻击(Denial of Service attack) 跨站点请求伪造(CSRF,Cross-Site Request Fo ...
WEB攻击手段及防御第1篇－XSS
概念 XSS全称为Cross Site Script,即跨站点脚本攻击,XSS攻击是最为普遍且中招率最多的web攻击方式,一般攻击者通过在网页恶意植入攻击脚本来篡改网页,在用户浏览网页时就能执行恶意的 ...
WEB攻击手段及防御－扩展篇
转载自 WEB攻击手段及防御-扩展篇之前的文章介绍了常见的XSS攻击.SQL注入.CSRF攻击等攻击方式和防御手段,没有看的去翻看之前的文章,这些都是针对代码或系统本身发生的攻击,另外还有一些攻击方 ...
浅谈常用的几种web攻击方式以及解决办法
身在互联网的时候,web在给我们带来便利的同时,有些人也在盯着这些便利,因此出现了攻击网站的现象.所以我们在开发的时候,要注意这些容易被攻击的地方,以及做好防御的措施,下面将介绍一些这些常见的攻击手 ...
Web前端攻击方式及防御措施
一.XSS [Cross Site Script]跨站脚本攻击恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户 ...

web攻击方式和防御方法

mysqli_real_escape_string

web攻击方式和防御方法相关推荐

最新文章

热门文章