SQL注入是一种网络安全漏洞,它允许攻击者在数据库查询中插入恶意的SQL代码。这种攻击通常发生在应用程序未对用户输入进行适当验证和清理的情况下,使得攻击者可以利用这些漏洞来操纵数据库执行非预期的操作。 SQL注入攻击可能导致以下几种情况: 数据泄露:攻击者可以获取敏感数据,如用户名、密码等。 数据篡改:攻击者可能更改或删除数据库中的数据。 服务拒绝(DoS):攻击者可能使数据库服务不可用。 为了防止SQL注入,可以采取以下措施: 参数化查询:使用预编译的语句和参数绑定来确保用户输入不会被解释为SQL代码。 输入验证:确保所有输入都符合预期格式,并拒绝不符合规则的数据。 最小权限原
飞翔的鱼丸 2024-08-25 开发技巧 178
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全威胁,它利用Web应用程序对用户输入数据处理不当的漏洞,将恶意脚本注入到返回给用户的网页中。当用户浏览这样的网页时,恶意脚本会在用户的浏览器环境中执行,可能导致各种安全问题,包括窃取用户的敏感信息、劫持用户会话、甚至对网站进行更严重的攻击。 XSS 攻击类型 XSS 攻击大致可以分为三种类型: 存储型 XSS:恶意脚本被直接存储在服务器上,然后在每次请求相关页面时被加载和执行。这种类型的 XSS 攻击最危险,因为它持续存在并且影响所有访问该页面的用户。 反射型 XSS:恶意脚本不是存储在服务器上,而是通
飞翔的鱼丸 2024-08-22 开发技巧 247
xss 是一个流行的 Node.js 模块,用于帮助开发者清理 HTML 输入,防止跨站脚本攻击(XSS)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、格式控制相关的 HTML 的场景,xss模块通过白名单来控制允许的标签及相关的标签属性,另外还提供了一系列的接口以便用户扩展。 安装 xss 模块 首先,你需要通过 npm 安装 xss 模块。在你的项目目录中打开终端,然后运行以下命令: npm install xss 使用 xss 模块 安装完成后,你可以开始使用它来清理用户输入。下面是一些基本示例: 基本用法 const xss = require('xss'); //
飞翔的鱼丸 2024-08-22 Node.js 295
一,过去 跨站请求伪造,也称为CSRF或XSRF, 它源于网站必须向另一个站点发出请求的简单功能。 假设我在 https://a.com 面中嵌入了以下表单。 form action="https://your-bank.com/transfer" method="POST" id="stealMoney" input type="hidden"name="to"value="Scott Helme" input type="hidden"name="account"value="14278935" input type="hidden"name="amount"v
飞翔的鱼丸 2023-07-26 Node.js 630
项目地址:https://www.npmjs.com/package/koa-csrf安装:npm install koa-csrf 需要配合session使用:// CSRF 防御 const CSRF = require('koa-csrf'); const csrfMD = new CSRF({ invalidSessionSecretMessage: 'Invalid session secret', invalidTokenMessage: 'Invalid CSRF token', invalidTokenStatusCode: 403, }); router.post
飞翔的鱼丸 2021-12-15 Node.js 814
跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。XSS:Cross Site Scrit 跨站脚本攻击(为与 CSS 区别,所以在安全领域叫 XSS)。攻击原理是代码被恶意注入到页面中(例如评论),然后其他用户在访问页面时,浏览器执行了代码逻辑。为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提
飞翔的鱼丸 2021-01-23 Node.js 1214
1. 一台 Linux 系统初始化环境后需要做一些什么安全工作?1、添加普通用户登陆,禁止 root 用户登陆,更改 SSH 端口号。修改 SSH 端口不一定绝对哈。当然,如果要暴露在外网,建议改下。2、服务器使用密钥登陆,禁止密码登陆。3、开启防火墙,关闭 SElinux ,根据业务需求设置相应的防火墙规则。4、装 fail2ban 这种防止 SSH 暴力破击的软件。5、设置只允许公司办公网出口 IP 能登陆服务器(看公司实际需要)也可以安装 VPN 等软件,只允许连接 VPN 到服务器上。6、修改历史命令记录的条数为 10 条。7、只允许有需要的服务器可以访问外网,其它全部禁止。8、做好软
飞翔的鱼丸 2020-10-16 运维 1012
1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信内容。2. 【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 说明:中国大陆个人手机号码显示为:137****0969,隐藏中间 4 位,防止隐私泄露。3. 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定,防止SQL注入, 禁止字符串拼接 SQL 访问数据库。反例:某系统签名大量被恶意修改,即是因为对于危险字符 # --没有进行转义,导致数据库更新时,where 后边的信息被注释掉,对全库进行更新。4. 【强制
飞翔的鱼丸 2020-04-27 开发技巧 1078
一,在不改动现有系统任何代码的前提下,防止SQL注入比如下面这个场景:服务器中难免有些安全性比较差的程序,比如使用了老版本的dedecms。或者某个程序引用的第三方插件,在SQL处理上,没有使用参数绑定,而是直接拼接字符串,还没有类型检查。 这时可以考虑使用WAF (Web Application Firewall)。 二,如何选择市面上的WAF有三种形态,硬件Web防火墙、Web防护软件和云Waf。 最为灵活的方案是选择Web防护软件。 三,安装配置服务器环境Windows server 2008, Apache是PHP官方推荐的Windows二进制版 http://www.apachelo
飞翔的鱼丸 2018-04-28 运维 5901
随机推荐
JavaScript 中的数据类型自动转换为 Boolean 状态
WordPress 文章置顶循环
Node.js MySQL 连接池和事务
JavaScript 滚动浏览器窗口到指定的元素
Linux apt 命令
Three.js导入3D模型
Wordpress 使用 tag 标签获取文章列表的方法
Land APP 小程序