常见Web漏洞原理、利用及防护,攻击“谱线”,一般的入侵流程 信息搜集 漏洞利用进入系统 实现目的 窃取、篡改、破坏 进一步渗透其他主机 安装后门,常见的Web安全漏洞,常见的Web安全漏洞,Web安全漏洞,输入输出验证,验证的内容: 1、验证所有客户端的输入 2、验证所有输出到客户端的内容,验证的方法: 1、验证数据的长度、大小、格式、类型以及内容 2、使用服务端代码做最终验证 3、不使用黑名单检测方式 4、数据非法,停止程序执行,切勿企图修正数据,SQL注入漏洞,SQL注入漏洞 形成原因,客 户 端,数 据 库,服 务 端,用户想要查看ID为81的文章,请 求,返 回,请 求,返 回,动态构造SQL语句:Select * from Article where id=81 ,向数据库发起查询请求,在Article表中查询id为81的所有记录,返回查询到的所有记录,处理返回的所有记录,如过滤和编码特殊字符等,生成静态网页并返回给客户端,将网站返回的网页展示给用户,网站请求内容过程,SQL注入漏洞 形成原因,常见注入过程,漏洞形成,SQL注入漏洞 形成原因,原理: 一个正常的SQ
