04-12 常见接口安全问题及解决方案

机智的测试生活

命令注入漏洞

目标是通过易受攻击的应用程序在主机操作系统上执行任意命令

SQL注入漏洞

发生在应用程序与数据库层的安全漏洞

危害及预防

  • 危害:漏洞能让黑客无限制的使用SQL,造成数据泄露,甚至是远程名利操作
  • 预防:使用参数化查询避免数据被混在指令中

XSS漏洞

跨站脚本漏洞,是一种网站应用程序的安全漏洞攻击

主要通过利用网页开发时留下的漏洞,使用巧妙的方法注入恶意制定代码,导致用户加载并执行攻击者恶意制造的网页程序

危害及预防

  • 危害:危害网站上的用户,导致其被动执行非预期网页脚本
  • 预防:输入输出过滤、利用浏览器安全机制等
  • 检测:可自动化发现

CSRF漏洞

跨站请求伪造

是攻击者通过技术手段,欺骗用户使用浏览器访问一个自己曾经认证过的网站并运行一些操作

危害及预防

  • 危害:导致用户执行非本意的网站
  • 预防:增加 token 校验,检查 referer
阅读 502

机智的测试生活
双非大龄青年,转行测试工程师。 分享测试工程师的职业经验, 提供付费转行咨询

公号|机智的测试生活

75 声望
476 粉丝
0 条评论

公号|机智的测试生活

75 声望
476 粉丝
文章目录
宣传栏