Can*_*var 6 security defensive-programming web-applications
对XSS,Sql注入,拒绝服务等常见Web攻击有什么必要的防御方法?
编辑:我根据维基百科的描述收集了您的回复.我添加了一些额外的问题以获得完整的参考.
Sql注入
SQL注入是一种代码注入技术,它利用应用程序数据库层中发生的安全漏洞.当用户输入被错误地过滤为嵌入在SQL语句中的字符串文字转义字符或用户输入没有强类型并因此意外执行时,存在漏洞.它是一种更普遍的漏洞类型的实例,只要一种编程或脚本语言嵌入另一种内部,就会发生这种漏洞.
跨站点脚本(XSS)
跨站点脚本是一种通常在Web应用程序中发现的计算机安全漏洞,它允许恶意Web用户将代码注入其他用户查看的Web页面.此类代码的示例包括HTML代码和客户端脚本.攻击者可以使用利用漏洞利用的跨站点脚本漏洞来绕过访问控制,例如相同的源策略.
拒绝服务攻击
拒绝服务攻击(DoS攻击)或分布式拒绝服务攻击(DDoS攻击)是企图使其预期用户无法使用计算机资源.虽然DoS攻击的执行手段,动机和目标可能有所不同,但它通常包括一个或多个人的协同恶意努力,以防止Internet站点或服务有效或根本无法正常或无限期地运行.
我知道似乎不可能以编程方式避免拒绝服务攻击,但你怎么想?
蛮力攻击
在密码分析中,暴力攻击是一种通过系统地尝试大量可能性来破坏加密方案的方法; 例如,密钥空间中的大量可能密钥以便解密消息.在大多数方案中,人们认识到蛮力攻击的理论可能性,但它的建立方式使得执行它在计算上是不可行的.
一些额外的问题:
您如何看待尝试根据您的内容发布输入的网络机器人?例如,SO正在使用图像验证.
你对javascript eval函数有什么看法?
有没有办法访问服务器上没有暴露给外部的内容.例如,我有一个页面,将一些重要的记录插入到我的数据库中,只有我知道它的URL.有没有办法获得这种文件?我知道你可以为它设置一些安全规则.
(注意:目录列表已禁用,我托管此文件.)
谢谢你的回复!
您的问题涵盖范围很广.我会试着给你一些指示.如果您更清楚地指出您的问题,我可以为您提供更具体的信息.