1. SQL 注入2013-10-18

    SQL 注入 很多 web 开发者没有注意到 SQL 查询是可以被篡改的,因而把 SQL 查询当作可信任的命令。殊不知道,SQL 查询可以绕开访问控制,从而绕过身份验证和权限检查。更有甚者,有可能通过 SQL 查询去运行主机操作系统级的命令。 直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句的技术,从而达到取得隐藏数据,或覆盖关键的值,甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成 SQL 查询来实现的。下面将会给出一些真实 ...

    阅读全文
  2. 设计数据库 第一步一般都是创建数据库,除非是使用第三方的数据库服务。当创建一个数据库的时候,会指定一个所有者来执行和新建语句。通常,只有所有者(或超级用户)才有权对数据库中的对象进行任意操作。如果想让其他用户使用,就必须赋予他们权限。 应用程序永远不要使用数据库所有者或超级用户帐号来连接数据库,因为这些帐号可以执行任意的操作,比如说修改数据库结构(例如删除一个表)或者清空整个数据库的内容。 应该为程序的每个方面创建不同的数据库帐号,并赋予对数据库对象的极有限的权限。仅分配给能完 ...

    阅读全文
  3. 用户上传文件的安全风险 允许用户上传文件有哪些安全风险?简单列举一些所能想到的risk: 空间的占用,如果文件服务器空间有限制,允许用户无限制的上传垃圾文件或许会塞满文件服务器,导致其他用户再也不能上传,需要扩展服务器容量。这或许对于现在的容量来说不是大风险。 文件的访问。如果上传的文件是可执行的,这就给服务器带来安全漏洞。所以在文件执行权限上进行管理,以及在文件类型上应加以控制。   第二类风险才是真正的安全隐患,而且其方式可能会多种多样,可以进 ...

    阅读全文
  4. 随着web应用的流行,人们越来越关心网络安全。学习网络安全,我们必须找到组织(The Open Web Application Security Project (OWASP))。 本文是学习XSS中收集并整理的资料,不断更新中。 什么是XSS? XSS是Cross Site Script的简写,即常说的跨站脚本攻击。 XSS攻击场景 使用 XSS盗取Cookie 使用XSS创建覆盖 使用XSS产生HTTP请求 以交互方式尝试基于DOM的XSS 绕过 ...

    阅读全文
  5. 最近发现每天总有IP段从121.42.0.57到121.42.0.73的机器来扫描站点的问题,百度了下这些IP,发现都属于马云的阿里巴巴,问了些大侠说是这些IP来自阿里云盾。这个云盾是用来做什么的? 如图: 阿里云论坛里有人解释“云盾端口扫描的ip,是对网站的一种安全检测,目的是告知用户是否网站有安全漏洞。” 再查询云盾官方解释:“云盾IP为什么频繁扫描我的主机”的官方解释: 问题:云盾IP为什么频繁扫描我的主机 ...

    阅读全文