有声读物,欢乐颂小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

csrf攻擊的原理(csrf是什么端？)

大家好，今天小編關(guān)注到一個比較有意思的話題，就是關(guān)于csrf攻擊原理與解決方法的問題，于是小編就整理了2個相關(guān)介紹為您解答，讓我們一起看看吧。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了哈巴河免費(fèi)建站歡迎大家使用！

請列舉出至少五種常見的漏洞并詳述出其漏洞原理和防護(hù)對策？

這里列舉5種常見的軟件漏洞及其防護(hù)對策:

1. SQL注入漏洞:

原理:通過在Web表單中輸入惡意SQL代碼,來修改SQL語句的原意,訪問未授權(quán)的數(shù)據(jù)。

防護(hù):對用戶輸入的參數(shù)進(jìn)行過濾或校驗(yàn),避免直接將參數(shù)拼接入SQL語句中;使用預(yù)編譯語句或者ORM工具查詢數(shù)據(jù)庫。

2. 緩沖區(qū)溢出漏洞:

原理:向緩沖區(qū)寫入的數(shù)據(jù)超過緩沖區(qū)的實(shí)際大小,導(dǎo)致相鄰內(nèi)存被修改或覆蓋?？捎糜趫?zhí)行shellcode注入。

防護(hù):對緩沖區(qū)的邊界進(jìn)行檢查,避免寫入超出邊界的數(shù)據(jù);使用安全字符串函數(shù)代替危險(xiǎn)函數(shù);開啟堆棧保護(hù)等。

3. XSS跨站腳本漏洞:

原理:攻擊者在Web頁面中嵌入惡意Script代碼,當(dāng)用戶瀏覽頁面時,嵌入其中Web服務(wù)器或者用戶的網(wǎng)頁的腳本代碼會被執(zhí)行。

防護(hù):對用戶輸入的內(nèi)容進(jìn)行HTML編碼,避免瀏覽器將其作為可執(zhí)行代碼執(zhí)行;添加CSP content-security-policy 等。

csrf是什么端？

CSRF是偽造客戶端請求的一種攻擊,CSRF的英文全稱是Cross Site Request Forgery,字面意思是跨站點(diǎn)偽造請求。

CSRF攻擊的原理

正常情況下csrf攻擊是無效的，當(dāng)配置xhr.withCredentials支持跨域情況攜帶cookie，然后SameSite也支持的情況下這個時候跨域請求就存在隱患。

當(dāng)攻擊者發(fā)送跨域請求偽造用戶的時候，因?yàn)榭梢栽诳缬蛘埱笾袛y帶用戶(請求域的cookie)所以從而偽造出是用戶發(fā)送的請求。

到此，以上就是小編對于csrf攻擊的原理的問題就介紹到這了，希望這2點(diǎn)解答對大家有用。

本文題目：csrf攻擊的原理(csrf是什么端？)
網(wǎng)站URL：http://fisionsoft.com.cn/article/dhopcpo.html

新聞中心

請列舉出至少五種常見的漏洞并詳述出其漏洞原理和防護(hù)對策？

csrf是什么端？

其他資訊

請列舉出至少五種常見的漏洞并詳述出其漏洞原理和防護(hù)對策？