1.Web网络攻击过滤和转义特殊字符对于访问数据库的Web应用,使用Web应用防火墙严格检查输入变量的类型和格式过滤和转义访问数据库的特殊字符Web应用使用Web应用防火墙。Web网络攻击是黑客根据用户的在线操作,对服务器等硬件设施进行攻击的手段。常见的攻击方式:1)XSS跨站脚本攻击2)CSRF跨站请求伪造3)SQL注入2、XSS跨站脚本攻击,允许攻击者在提供给其他用户的页面中植入恶意代码XSS的目的攻击是窃取存储在客户端的cookies或其他网站用来识别客户端的敏感信息。窃取用户信息后,攻击者会利用用户信息与网站进行交互。XSS攻击根据攻击来源可分为:存储型、反射型、DOM型——存储型攻击者向目标网站的数据库提交恶意代码。服务器收到响应后解析并执行响应,其中混入的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者网站,或冒充用户,调用目标网站接口执行攻击者指定的操作。这种攻击常见于具有用户保存数据的网站功能,例如论坛帖子、产品评论、用户私信等——反射型攻击者构造包含恶意代码的特殊URL。当用户打开带有恶意代码的URL时,网站服务器将恶意代码从URL中取出,拼接成HTML返回给浏览器。浏览器收到响应后,浏览器解析并执行。其中混入的恶意代码还被执行窃取用户数据发送到攻击者的网站,或者冒充用户。调用目标网站的接口,执行攻击者指定的操作。反射型XSS和存储型XSS的区别在于:存储型XSS的恶意代码存储在数据库中,而反射型XSS的恶意代码存储在URL中。反射型XSS漏洞常见于通过URL传递参数的功能,例如网站搜索和重定向。-DOM型XSS攻击者构造一个包含恶意代码的特殊URL。用户打开带有恶意代码的URL。用户浏览器收到响应后解析并执行响应。前端JavaScript提取URL中的恶意代码并执行恶意代码窃取用户数据并发送到攻击者网站,或冒充用户行为,调用目标网站接口执行攻击者指定的操作。DOM型XSS与前两种XSS的区别:在DOM型XSS攻击中,恶意代码的提取和执行是由浏览器完成的。属于前端JavaScript本身的安全漏洞,而另外两类XSS属于服务端的安全漏洞。3、CSRF跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求请求示例:用户从A网站登录,保留登录凭据,同时攻击者引导用户访问网站BB。网站向A网站发送请求,浏览器会携带A网站的cookie,服务器收到请求后,对请求进行验证确认,并确认。用户凭据被误认为是用户自己的请求。攻击者冒充受害者并在用户不知情的情况下执行自定义操作。攻击一般是针对第三方网站发起的,而不是被攻击的网站。被攻击的网站无法阻止攻击的发生。攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据,攻击者在整个过程中无法获取受害者的登录凭证,而只能“伪造”跨站请求,可以采用多种方式:图片URL、超链接、CORS、表单提交等。请求方法可以直接嵌入到第三方论坛和文章中,难以追踪四、SQL注入SQL注入攻击是在应用程序的输入参数中插入恶意的SQL查询或添加语句,然后在其上进行解析后台SQLServer执行攻击找出SQL漏洞的注入点确定数据库的类型和版本猜测用户名和密码使用工具找到web后台管理入口如何防止入侵和破坏严格检查类型和输入变量的格式过滤和转义特殊字符对访问数据库的Web应用程序使用Web应用程序防火墙
