網(wǎng)站建設(shè)與前端開發(fā)（五）

• 作者：新網(wǎng)
• 來源：新網(wǎng)
• 瀏覽：100
• 2018-02-28 17:59:28

這種攻擊的一個常見示例是由Web應(yīng)用程序訪問的SQL server，其中SQL語句沒有經(jīng)過中間件或驗證代碼組件的過濾。這可能導致攻擊者能夠在后端數(shù)據(jù)庫服務(wù)器上創(chuàng)建和執(zhí)行自己的SQL語句，這可能是簡單的SELECT語句來獲取和竊取數(shù)據(jù)，或者可能像刪除整個數(shù)據(jù)表一樣嚴重。在其他情況下，數(shù)據(jù)可以通過使用惡意的和虛假的內(nèi)容填充記錄集來破壞。

 這種攻擊的一個常見示例是由Web應(yīng)用程序訪問的SQL server，其中SQL語句沒有經(jīng)過中間件或驗證代碼組件的過濾。這可能導致攻擊者能夠在后端數(shù)據(jù)庫服務(wù)器上創(chuàng)建和執(zhí)行自己的SQL語句，這可能是簡單的SELECT語句來獲取和竊取數(shù)據(jù)，或者可能像刪除整個數(shù)據(jù)表一樣嚴重。在其他情況下，數(shù)據(jù)可以通過使用惡意的和虛假的內(nèi)容填充記錄集來破壞。

盡管網(wǎng)絡(luò)安全意識越來越高，但許多網(wǎng)站仍然可以進行SQL注入攻擊。

 

雖然在本文中不可能涵蓋所有可能的攻擊，但讓我們來看看一些不太為人所熟知的攻擊，這些攻擊越來越多地被用于攻擊網(wǎng)站。

 

緩慢的HTTP攻擊

 

雖然這一方法與拒絕服務(wù)攻擊類似，但該技術(shù)略有不同。它利用了一個事實，即每個HTTP請求都必須由Web服務(wù)器偵聽。每個Web請求都以一個名為content-length的字段開頭，它告訴服務(wù)器需要多少字節(jié)，并以回車和換行(CRLF)字符組合結(jié)束。

 

HTTP請求由內(nèi)容長度較大的攻擊者發(fā)起，而不是發(fā)送CRLF來結(jié)束請求，因此通過向Web服務(wù)器發(fā)送非常少量的數(shù)據(jù)來簡單地延遲。 這使得Web服務(wù)器等待尚未到來的更多數(shù)據(jù)來完成請求。 這消耗了Web服務(wù)器的資源。

 

如果請求延遲到一個小于服務(wù)器上會話超時設(shè)置的點，那么多個這樣的慢請求可以完全消耗資源并創(chuàng)建拒絕服務(wù)攻擊。這可以通過只從一個瀏覽器創(chuàng)建緩慢和延遲的請求來實現(xiàn)，這從安全的角度來看是很危險的。

 

加密開發(fā)

 

導致了一種幻覺，認為一切都是安全的，不幸的是，情況并非如此。許多購物車應(yīng)用程序忘記進一步加密cookie內(nèi)容，并將它們放在純文本中。

 

盡管SSL上的數(shù)據(jù)受到SSL的保護，但運行客戶端腳本攔截cookie并讀取其內(nèi)容可能會導致數(shù)據(jù)或會話被盜。