三种攻击方式简介xss,crsf,sqlins
2017-06-17 20:18
721 查看
xss
非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。 持久型xss攻击会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。”
然后是 crsf。
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范”。
由于现在 csrf 通常会放在框架层一起做掉,所以在测试验证的时候常常会漏了这块的验证,功能验证的时候得特别注意下~
sqlins即是 sql 注入,通常存在于没有使用一些数据库连接的库的场景下,现在基本见不到了~
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据”
非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。 持久型xss攻击会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。”
然后是 crsf。
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范”。
由于现在 csrf 通常会放在框架层一起做掉,所以在测试验证的时候常常会漏了这块的验证,功能验证的时候得特别注意下~
sqlins即是 sql 注入,通常存在于没有使用一些数据库连接的库的场景下,现在基本见不到了~
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据”
相关文章推荐
- 三种常见web攻击方式,xss、csrf和clickJacking
- django学习——常见的网站攻击的三种方式:sql注入、xss、csrf
- 三种Cache写入方式原理简介
- ADO, DAO, DoCmd.RunSQL 三种方式用哪一种?
- Linq to Sql : 三种事务处理方式
- 三种方式sql 插入多行数据
- 【电商网站】拼接sql(insert、update、replace)语句的三种方式
- DataReader分页 与 SQL三种分页方式 - Junval
- XML 三种解析方式简介
- SQL调优日记之发挥SQL性能与你的写法有关--对比三种方式实现相同功能
- XSS(Cross-Site-Scripting)跨站攻击方式以及防御[待续]
- 实用:防止SQL、XSS等注入攻击的Filter
- Linq to Sql : 三种事务处理方式
- Linq to Sql : 三种事务处理方式
- JDBC获取SQL查询语句返回记录数的三种方式效率比较
- 三种Cache写入方式原理简介
- JDBC获取SQL查询语句返回记录数的三种方式效率比较
- SQL获取插入后数据ID的三种方式比较
- Linq to Sql : 三种事务处理方式
- BOM__Document对象简介-三种获取节点方式,通过节点层次关系获取节点,以及对象中的属性操作