99插插插,亚洲伦理中文在线,站长推荐一二三区欧美,青青草在线导航

　網(wǎng)站建設(shè)與前端開(kāi)發(fā)（五）

• 作者：新網(wǎng)
• 來(lái)源：新網(wǎng)
• 瀏覽：100
• 2018-02-28 17:59:28

這種攻擊的一個(gè)常見(jiàn)示例是由Web應(yīng)用程序訪問(wèn)的SQL server，其中SQL語(yǔ)句沒(méi)有經(jīng)過(guò)中間件或驗(yàn)證代碼組件的過(guò)濾。這可能導(dǎo)致攻擊者能夠在后端數(shù)據(jù)庫(kù)服務(wù)器上創(chuàng)建和執(zhí)行自己的SQL語(yǔ)句，這可能是簡(jiǎn)單的SELECT語(yǔ)句來(lái)獲取和竊取數(shù)據(jù)，或者可能像刪除整個(gè)數(shù)據(jù)表一樣嚴(yán)重。在其他情況下，數(shù)據(jù)可以通過(guò)使用惡意的和虛假的內(nèi)容填充記錄集來(lái)破壞。

 這種攻擊的一個(gè)常見(jiàn)示例是由Web應(yīng)用程序訪問(wèn)的SQL server，其中SQL語(yǔ)句沒(méi)有經(jīng)過(guò)中間件或驗(yàn)證代碼組件的過(guò)濾。這可能導(dǎo)致攻擊者能夠在后端數(shù)據(jù)庫(kù)服務(wù)器上創(chuàng)建和執(zhí)行自己的SQL語(yǔ)句，這可能是簡(jiǎn)單的SELECT語(yǔ)句來(lái)獲取和竊取數(shù)據(jù)，或者可能像刪除整個(gè)數(shù)據(jù)表一樣嚴(yán)重。在其他情況下，數(shù)據(jù)可以通過(guò)使用惡意的和虛假的內(nèi)容填充記錄集來(lái)破壞。

盡管網(wǎng)絡(luò)安全意識(shí)越來(lái)越高，但許多網(wǎng)站仍然可以進(jìn)行SQL注入攻擊。

 

雖然在本文中不可能涵蓋所有可能的攻擊，但讓我們來(lái)看看一些不太為人所熟知的攻擊，這些攻擊越來(lái)越多地被用于攻擊網(wǎng)站。

 

緩慢的HTTP攻擊

 

雖然這一方法與拒絕服務(wù)攻擊類(lèi)似，但該技術(shù)略有不同。它利用了一個(gè)事實(shí)，即每個(gè)HTTP請(qǐng)求都必須由Web服務(wù)器偵聽(tīng)。每個(gè)Web請(qǐng)求都以一個(gè)名為content-length的字段開(kāi)頭，它告訴服務(wù)器需要多少字節(jié)，并以回車(chē)和換行(CRLF)字符組合結(jié)束。

 

HTTP請(qǐng)求由內(nèi)容長(zhǎng)度較大的攻擊者發(fā)起，而不是發(fā)送CRLF來(lái)結(jié)束請(qǐng)求，因此通過(guò)向Web服務(wù)器發(fā)送非常少量的數(shù)據(jù)來(lái)簡(jiǎn)單地延遲。 這使得Web服務(wù)器等待尚未到來(lái)的更多數(shù)據(jù)來(lái)完成請(qǐng)求。 這消耗了Web服務(wù)器的資源。

 

如果請(qǐng)求延遲到一個(gè)小于服務(wù)器上會(huì)話超時(shí)設(shè)置的點(diǎn)，那么多個(gè)這樣的慢請(qǐng)求可以完全消耗資源并創(chuàng)建拒絕服務(wù)攻擊。這可以通過(guò)只從一個(gè)瀏覽器創(chuàng)建緩慢和延遲的請(qǐng)求來(lái)實(shí)現(xiàn)，這從安全的角度來(lái)看是很危險(xiǎn)的。

 

加密開(kāi)發(fā)

 

導(dǎo)致了一種幻覺(jué)，認(rèn)為一切都是安全的，不幸的是，情況并非如此。許多購(gòu)物車(chē)應(yīng)用程序忘記進(jìn)一步加密cookie內(nèi)容，并將它們放在純文本中。

 

盡管SSL上的數(shù)據(jù)受到SSL的保護(hù)，但運(yùn)行客戶端腳本攔截cookie并讀取其內(nèi)容可能會(huì)導(dǎo)致數(shù)據(jù)或會(huì)話被盜。