关于测试:0412-常见接口安全问题及解决方案

31次阅读

共计 355 个字符,预计需要花费 1 分钟才能阅读完成。

命令注入破绽

指标是通过易受攻击的应用程序在主机操作系统上执行任意命令

SQL 注入破绽

产生在应用程序与数据库层的安全漏洞

危害及预防

  • 危害:破绽能让黑客无限度的应用 SQL,造成数据泄露,甚至是近程名利操作
  • 预防:应用参数化查问防止数据被混在指令中

XSS 破绽

跨站脚本破绽,是一种网站应用程序的安全漏洞攻打

次要通过利用网页开发时留下的破绽,应用奇妙的办法注入歹意制订代码,导致用户加载并执行攻击者歹意制作的网页程序

危害及预防

  • 危害:危害网站上的用户,导致其被动执行非预期网页脚本
  • 预防:输入输出过滤、利用浏览器平安机制等
  • 检测:可自动化发现

CSRF 破绽

跨站申请伪造

是攻击者通过技术手段,坑骗用户应用浏览器拜访一个本人已经认证过的网站并运行一些操作

危害及预防

  • 危害:导致用户执行非本意的网站
  • 预防:减少 token 校验,查看 referer
正文完
 0