@烟雨
3年前 提问
1个回答
常见产品安全性缺陷有什么
X0_0X
3年前
跨站脚本攻击漏洞:用户可以将恶意构造的脚本储存在系统中,其他用户访问到构造的脚本时将会受到恶意脚本的攻击;解决办法:将HTML标记使用的“<”,“>”,单双引号,反斜杠等进行转码或者过滤,如”<””>”转换成“<”“>”。
SQL注入(盲注):通过输入在传递的参数中包含了SQL语言的元字符,破坏了原有的SQL语句结构,使程序要处理的数据变成了程序的一部分,以此来实现某些攻击操作,造成数据丢失、篡改或被非法获取。
用户名、密码明文传输:一些敏感数据或信息在传输过程中没有加密,可以被嗅探工具监听获取;解决方法:启用https使用ssl对数据进行加密。
权限验证存在安全漏洞:某些网页没有对用户权限进行有效检查,不通过登录输入URL可以直接访问获取系统信息。
元字符攻击:输入语言中具有特定含义的字符或者字符串,如一些危险的元字符:在SQL查询中,单引号”’”是危险字符,在文件系统路径中两个句号”..”是危险字符,对于命令行程序来说,分号“;”和双&(&&)符号是危险字符,而换行符(n)对于日志文件是危险字符。
异常处理:由于异常处理的不合理,用户可以通过构造异常语句的方式,通过系统给出的错误提示收集信息,为其他攻击提供便利。