本篇內(nèi)容介紹了“web應(yīng)用常見的安全漏洞有哪些”的有關(guān)知識，在實(shí)際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

成都創(chuàng)新互聯(lián)咨詢熱線：18982081108，為您提供成都網(wǎng)站建設(shè)網(wǎng)頁設(shè)計及定制高端網(wǎng)站建設(shè)服務(wù)，成都創(chuàng)新互聯(lián)網(wǎng)頁制作領(lǐng)域十年，包括被動防護(hù)網(wǎng)等多個行業(yè)擁有豐富建站經(jīng)驗(yàn)，選擇成都創(chuàng)新互聯(lián)，為企業(yè)錦上添花。

1.SQL 注入

SQL 注入就是通過給 web 應(yīng)用接口傳入一些特殊字符，達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。

SQL 注入漏洞屬于后端的范疇，但前端也可做體驗(yàn)上的優(yōu)化。

原因：當(dāng)使用外部不可信任的數(shù)據(jù)作為參數(shù)進(jìn)行數(shù)據(jù)庫的增、刪、改、查時，如果未對外部數(shù)據(jù)進(jìn)行過濾，就會產(chǎn)生 SQL 注入漏洞。

2.XSS 攻擊

XSS 攻擊全稱跨站腳本攻擊(Cross-Site Scripting)，簡單的說就是攻擊者通過在目標(biāo)網(wǎng)站上注入惡意腳本并運(yùn)行，獲取用戶的敏感信息如 Cookie、SessionID 等，影響網(wǎng)站與用戶數(shù)據(jù)安全。

XSS 攻擊更偏向前端的范疇，但后端在保存數(shù)據(jù)的時候也需要對數(shù)據(jù)進(jìn)行安全過濾。

原因：當(dāng)攻擊者通過某種方式向?yàn)g覽器頁面注入了惡意代碼，并且瀏覽器執(zhí)行了這些代碼。

3.CSRF 攻擊

CSRF 攻擊全稱跨站請求偽造(Cross-site Request Forgery)，簡單的說就是攻擊者盜用了你的身份，以你的名義發(fā)送惡意請求。

解決方案：防止 CSRF 攻擊需要在服務(wù)器端入手，基本的思路是能正確識別是否是用戶發(fā)起的請求。

4.DDoS 攻擊

DoS 攻擊全稱拒絕服務(wù)(Denial of Service)，簡單的說就是讓一個公開網(wǎng)站無法訪問，而 DDoS 攻擊(分布式拒絕服務(wù) Distributed Denial of Service)是 DoS 的升級版。這個就完全屬于后端的范疇了。

原因：攻擊者不斷地提出服務(wù)請求，讓合法用戶的請求無法及時處理，這就是 DoS 攻擊。

攻擊者使用多臺計算機(jī)或者計算機(jī)集群進(jìn)行 DoS 攻擊，就是 DDoS 攻擊。

5.XXE 漏洞

XXE 漏洞全稱 XML 外部實(shí)體漏洞(XML External Entity)，當(dāng)應(yīng)用程序解析 XML 輸入時，如果沒有禁止外部實(shí)體的加載，導(dǎo)致可加載惡意外部文件和代碼，就會造成任意文件讀取、命令執(zhí)行、內(nèi)網(wǎng)端口掃描、攻擊內(nèi)網(wǎng)網(wǎng)站等攻擊。

這個只在能夠接收 XML 格式參數(shù)的接口才會出現(xiàn)。

6.JSON 劫持

JSON 劫持(JSON Hijacking)是用于獲取敏感數(shù)據(jù)的一種攻擊方式，屬于 CSRF 攻擊的范疇。

原因：一些 Web 應(yīng)用會把一些敏感數(shù)據(jù)以 json 的形式返回到前端，如果僅僅通過 Cookie 來判斷請求是否合法，那么就可以利用類似 CSRF 的手段，向目標(biāo)服務(wù)器發(fā)送請求，以獲得敏感數(shù)據(jù)。

7.暴力破解

這個一般針對密碼而言，弱密碼(Weak Password)很容易被別人(對你很了解的人等)猜到或被破解工具暴力破解。

“web應(yīng)用常見的安全漏洞有哪些”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！

本文標(biāo)題：web應(yīng)用常見的安全漏洞有哪些-創(chuàng)新互聯(lián)
網(wǎng)頁URL：http://weahome.cn/article/epcjo.html