江阴web培训哪家好 常见的Web安全漏洞及测试

江阴web培训哪家好 常见的Web安全漏洞及测试

XSS跨站脚本攻击
SS(Cross Site Script)，与SQL注入相似，XSS是通过网页插入恶意脚本，主要用到的技术也是前端的HTML和JavaScript脚本。当用户浏览网页时，实现控制用户浏览器行为的攻击方式。
一次成功的XSS，可以获取到用户的cookie，利用该cookie盗取用户对该网站的操作权限；也可以获取到用户联系人列表，利用被攻击者的身份向特定的目标群发送大量的垃圾信息，等等。

XSS分为三类：存储型(持久性XSS)、反射型(非持久性XSS)、DOM型。

测试方法：在数据输入界面，输入：《script》alert(/123/)，保存成功后如果弹出对话框，表明此处存在一个XSS 漏洞。
或把url请求中参数改为《script》alert(/123/)，如果页面弹出对话框，表明此处存在一个XSS 漏洞。

CSRF跨站伪造请求攻击
CSRF(Cross Site Request Forgery)，利用已登录的用户身份，以用户的名义发送恶意请求，完成非法操作。例如：用户如果浏览并信任了存在CSRF漏洞的网站A，浏览器产生了相应的cookie，用户在没有退出该网站的情况下，访问了危险网站B 。
危险网站B要求访问网站A，发出一个请求。浏览器带着用户的cookie信息访问了网站A，因为网站A不知道是用户自身发出的请求还是危险网站B发出的请求，所以就会处理危险网站B的请求，这样就完成了模拟用户操作的目的。这就是CSRF攻击的基本思想。

测试方法：同个浏览器打开两个页面，一个页面权限失效后，另一个页面是否可操作成功，如果仍然能操作成功即存在风险；使用工具发送请求，在http请求头中不加入referer字段，检验返回消息的应答，应该重新定 位到错误界面或者登录界面。

SQL注入
SQL注入(SQL Injection)，是常见影响非常广泛的漏洞。攻击者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，终达到欺骗服务器执行恶意的SQL命令，从而入侵数据库来执行未授意的任意查询。

SQL注入可能造成的危害有：网页、数据被篡改，核心数据被窃取，数据库所在的服务器被攻击，变成傀儡主机。例如有些网站没有使用预编译sql，用户在界面上输入的一些字段被添加到sql中，很有可能这些字段包含一些恶意的sql命令。如:password = "1' OR '1'='1"；即使不知道用户密码，也能正常登录。

测试方法：在需要进行查询的页面，输入正确查询条件 and 1=1等简单sql语句，查看应答结果，如与输入正确查询条件返回结果一致，表明应用程序对用户输入未进行过滤，可以初步判断此处存在SQL注入漏洞

文件上传漏洞
文件上传攻击是指攻击者上传了一个可执行文件到服务器上，并执行。这种攻击方式是直接有效的。上传的文件可以是病毒、木马、恶意脚本或者是webshell等等。
Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以说是一种网页后门。攻击者在受影响系统防止或插入webshell后，可以通过webshell方便进入系统，达到控制网站服务器的目的。

测试方法：对上传的文件类型、大小等进行严格校验，禁止上传恶意代码的文件。对相关目录的执行权限进行校验，可以通过浏览器访问Web 服务器上的所有目录，检查是否返回目录结构，如果显示的是目录结构，则可能存在安全问题。

上元教育集团连锁品牌，拥有校区七十余家，教职工一千五百余人，开设专业课程涵盖八大职业。
【会计类】初级职称、中级职称、会计实操、管理会计、注册会计师、税务师

【建工类】一建、二建、造价工程师、一级消防工程师、造价实操

【设计类】室内设计、平面设计、服装设计、电脑办公、淘宝网店运营、淘宝美工、模具设计、 UG编程、UI交互设计

【资格类】教师证、育婴师、催乳师、月嫂、小儿、营养实操、产后修复、心理咨询师

【学历类】大专、本科学历提升
、研究生入学初试复试
【外语类】英语、日语、韩语、法语、德语、俄语、西班牙语

【才艺类】素描、手绘、插花

【 IT 类】JAVA、WEB前端

【上元教育江阴本部校校址：澄江街道高巷路33号暨阳大厦1402室】
【联系老师：陈老师18861631079】
成长就像走夜路一样
既没有灯 ，
但正因为黎明很美,
所以你要酷酷的走下去 ?,迎接新生，上元教育等着你！