建站知識

相信很多站長都有網(wǎng)站被攻擊過的經(jīng)歷，網(wǎng)站越優(yōu)質(zhì)越容易被盯上。如果被攻入恰恰說明網(wǎng)站存在安全漏洞， 這時要及時處理并做好程序、服務(wù)器的安全防范，今天我們講下什么是XSS攻擊、SQL 注入、WebShell 掃描？這些攻擊要如何預(yù)防？

一、什么是XSS攻擊

XSS（Cross-Site Scripting）又稱跨站腳本攻擊。通常指的是通過利用網(wǎng)頁開發(fā)時留下的漏洞，通過技術(shù)方法注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。攻擊成功后，攻擊者可能得到包括但不限于更高的權(quán)限（如執(zhí)行一些操作）、私密網(wǎng)頁內(nèi)容、 會話和cookie等各種內(nèi)容。其導(dǎo)致的危害可想而知，如劫持用戶會話，插入惡意內(nèi)容、重定向用戶、使用惡意軟件劫持用戶瀏覽器、繁殖 XSS 蠕蟲，甚至破壞網(wǎng)站、修改路由器配置信息等。

二、XSS攻擊的預(yù)防

1、過濾所有的HTTP Request參數(shù)。
2、用戶輸入長度限制。
3、使用 HttpOnly Cookie，禁止js讀取某些Cookie。
4、避免拼接html。
5、避免內(nèi)聯(lián)事件，如<button onclick="load('{{ data }}')">點</button>。
6、防止下發(fā)界面現(xiàn)實html標(biāo)簽， 把</>等符號轉(zhuǎn)義。



三、什么是SQL注入

SQL注入（SQLi）是通過構(gòu)建特殊的輸入作為參數(shù)傳入Web應(yīng)用程序，而這些輸入大都是SQL語法里的一些組合，通過執(zhí)行SQL語句進(jìn)而控制Web應(yīng)用程序后面的數(shù)據(jù)庫服務(wù)器，其主要原因是程序沒有仔細(xì)過濾用戶輸入的數(shù)據(jù)，致使非法數(shù)據(jù)侵入系統(tǒng)。

攻擊者可以使用SQ網(wǎng)站建設(shè)教程L注入漏洞繞過應(yīng)用程序的安全措施，繞過網(wǎng)頁或Web應(yīng)用程序的身份驗證和授權(quán)，營銷型網(wǎng)站建設(shè)并檢索整個SQL數(shù)據(jù)庫的內(nèi)容。還可以利用SQL注入訪問未經(jīng)授權(quán)的用戶敏感數(shù)據(jù)，同時添加、修改和刪除數(shù)據(jù)庫中的記錄，這是非常危險的Web應(yīng)用程序漏洞之一。

四、SQL注入的預(yù)防

1、檢查變量數(shù)據(jù)類型和格式。
2、過濾特殊符號或轉(zhuǎn)義處理。
3、綁定變量，使用預(yù)編譯語句。
4、訪問數(shù)據(jù)庫進(jìn)行多層驗證。
5、使用安全參數(shù)來杜絕注入式攻擊。
6、對用戶進(jìn)行分級管理，嚴(yán)格控制用戶的權(quán)限。



五、什么是WebShell掃描

WebShell是一種可以在web服務(wù)器上執(zhí)行后臺腳本或者命令的后門，這些后門文件放置在網(wǎng)站服務(wù)器的web目錄中，與正常的網(wǎng)頁文件混在一起。黑客通過入侵網(wǎng)站上傳WebShell后獲得服務(wù)器的執(zhí)行操作權(quán)限，比如執(zhí)行系統(tǒng)命令、竊取用戶數(shù)據(jù)、刪除web頁面、修改主頁等，其危害不言而喻。

關(guān)鍵詞標(biāo)簽: SQL XSS WebShell