网站建设与前端开发（五）

• 作者：新网
• 来源：新网
• 浏览：100
• 2018-02-28 17:59:28

这种攻击的一个常见示例是由Web应用程序访问的SQL server，其中SQL语句没有经过中间件或验证代码组件的过滤。这可能导致攻击者能够在后端数据库服务器上创建和执行自己的SQL语句，这可能是简单的SELECT语句来获取和窃取数据，或者可能像删除整个数据表一样严重。在其他情况下，数据可以通过使用恶意的和虚假的内容填充记录集来破坏。

 这种攻击的一个常见示例是由Web应用程序访问的SQL server，其中SQL语句没有经过中间件或验证代码组件的过滤。这可能导致攻击者能够在后端数据库服务器上创建和执行自己的SQL语句，这可能是简单的SELECT语句来获取和窃取数据，或者可能像删除整个数据表一样严重。在其他情况下，数据可以通过使用恶意的和虚假的内容填充记录集来破坏。

尽管网络安全意识越来越高，但许多网站仍然可以进行SQL注入攻击。

 

虽然在本文中不可能涵盖所有可能的攻击，但让我们来看看一些不太为人所熟知的攻击，这些攻击越来越多地被用于攻击网站。

 

缓慢的HTTP攻击

 

虽然这一方法与拒绝服务攻击类似，但该技术略有不同。它利用了一个事实，即每个HTTP请求都必须由Web服务器侦听。每个Web请求都以一个名为content-length的字段开头，它告诉服务器需要多少字节，并以回车和换行(CRLF)字符组合结束。

 

HTTP请求由内容长度较大的攻击者发起，而不是发送CRLF来结束请求，因此通过向Web服务器发送非常少量的数据来简单地延迟。 这使得Web服务器等待尚未到来的更多数据来完成请求。 这消耗了Web服务器的资源。

 

如果请求延迟到一个小于服务器上会话超时设置的点，那么多个这样的慢请求可以完全消耗资源并创建拒绝服务攻击。这可以通过只从一个浏览器创建缓慢和延迟的请求来实现，这从安全的角度来看是很危险的。

 

加密开发

 

导致了一种幻觉，认为一切都是安全的，不幸的是，情况并非如此。许多购物车应用程序忘记进一步加密cookie内容，并将它们放在纯文本中。

 

尽管SSL上的数据受到SSL的保护，但运行客户端脚本拦截cookie并读取其内容可能会导致数据或会话被盗。