常见 Web 安全问题
网站在提供便利的同时,也面临着各种安全威胁。一个小小的漏洞可能导致数据泄露、系统瘫痪,甚至带来不可估量的经济损失。本文介绍几种最常见的 Web 安全问题,包括其原理、危害以及防护策略。
一、SQL 注入(SQL Injection)
原理
SQL 注入是指攻击者通过在 Web 表单或 URL 中注入恶意 SQL 语句,使服务器执行未授权的数据库操作。例如:
SELECT * FROM users WHERE username = 'admin' AND password = '123456' OR '1'='1';
这条语句中 '1'='1'恒为真,可能导致登录绕过。
危害
-
绕过身份验证
-
获取、篡改或删除敏感数据
-
执行数据库管理命令
-
持久化控制后台
防护措施
-
使用参数化查询(PreparedStatement)
-
ORM 框架自带防注入机制
-
严格校验用户输入
-
最小权限原则配置数据库账户
二、跨站脚本攻击(XSS)
原理
XSS 攻击是指攻击者向页面注入恶意 JavaScript 脚本,从而在用户浏览时执行。例如,在评论区中插入:
<script>alert('XSS');</script>
类型
-
反射型 XSS:攻击脚本立即被返回执行
-
存储型 XSS:脚本保存在数据库中,页面访问时触发
-
DOM 型 XSS:前端代码中处理不当引发
危害
-
窃取 Cookie、Token
-
伪造用户操作
-
植入钓鱼页面或广告
防护措施
-
对用户输入进行转义(如使用 HTML Encode)
-
使用 CSP(内容安全策略)
-
避免使用 innerHTML 直接渲染用户内容
三、跨站请求伪造(CSRF)
原理
CSRF 利用用户已登录的身份,诱导其在不知情的情况下向目标网站发起请求。例如:
<img src="https://example.com/api/delete?user_id=1">
若用户已登录 example.com,该请求可能被执行。
危害
-
修改用户资料
-
发起转账
-
删除资源等敏感操作
防护措施
-
使用 CSRF Token 校验请求合法性
-
设置 SameSite=Strict Cookie 属性
-
对重要操作使用二次验证(如验证码)
四、命令注入(Command Injection)
原理
命令注入发生在 Web 应用将用户输入拼接到系统命令中执行。例如:
os.system("ping " + user_input)
如果 user_input = "127.0.0.1 && rm -rf /",后果不堪设想。
危害
-
控制服务器
-
删除文件、窃取数据
-
横向移动至其他系统
防护措施
-
禁止拼接执行系统命令
-
使用安全函数(如 Python 的 subprocess.run,并禁用 shell)
-
对输入进行白名单校验
五、文件上传漏洞
原理
攻击者上传恶意脚本文件(如 .php、.jsp),并访问该文件从而远程控制服务器。
危害
-
上传 WebShell,获取服务器控制权
-
窃取敏感数据
-
恶意传播木马
防护措施
-
限制上传文件类型、大小
-
随机重命名上传文件并存储至非 Web 可访问目录
-
不解析上传目录中的脚本文件
-
使用图像验证(如检查文件头)
六、敏感信息泄露
原理
网站错误配置、调试信息、日志等可能暴露数据库密码、服务器路径、API 密钥等。
常见场景
-
返回详细错误信息
-
.git、.svn被误暴露 -
.env配置文件泄漏
防护措施
-
关闭调试模式
-
配置 Web 服务器禁止访问敏感目录和文件
-
统一错误返回(不暴露堆栈信息)
七、安全配置不当
原理
默认配置、版本信息暴露、未启用 HTTPS 等都属于安全配置不当的范畴。
危害
-
被识别并利用已知漏洞
-
中间人攻击(MitM)
-
数据泄露
防护措施
-
删除默认示例、页面、功能
-
隐藏服务器版本信息
-
使用 HTTPS 传输敏感信息
-
定期审计安全配置
八、权限控制不严(越权访问)
原理
用户可以访问或操作其权限范围之外的资源。例如:普通用户访问 /admin 页面,或者修改他人数据。
防护措施
-
每个请求进行权限校验
-
接口中进行资源拥有者校验(如检查用户 ID 是否匹配)
-
使用 RBAC 权限模型(角色访问控制)
Web 安全不是一次性的工作,而是一项持续的工程。开发者需要具备安全意识,在开发过程中不断引入防御机制,配合定期的渗透测试与审计,才能有效防范日益复杂的 Web 攻击。
相关文章:
常见 Web 安全问题
网站在提供便利的同时,也面临着各种安全威胁。一个小小的漏洞可能导致数据泄露、系统瘫痪,甚至带来不可估量的经济损失。本文介绍几种最常见的 Web 安全问题,包括其原理、危害以及防护策略。 一、SQL 注入(SQL Injectionÿ…...
spring切面
概念 两个特点: IOC控制反转AOP主要用来处理公共的代码 例如一个案例就是添加用户,重复的代码包含了记录日志、事务提交和事务回滚等,都是重复的,为了简单,交给AOP来做。 即将复杂的需求分解出不同方面,…...
go语言基础|slice入门
slice slice介绍 slice中文叫切片,是go官方提供的一个可变数组,是一个轻量级的数据结构,功能上和c的vector,Java的ArrayList差不多。 slice和数组是有一些区别的,是为了弥补数组的一些不足而诞生的数据结构。最大的…...
使用 HTML + JavaScript 实现可拖拽的任务看板系统
本文将介绍如何使用 HTML、CSS 和 JavaScript 创建一个交互式任务看板系统。该系统支持拖拽任务、添加新任务以及动态创建列,适用于任务管理和团队协作场景。 效果演示 页面结构 HTML 部分主要包含三个默认的任务列(待办、进行中、已完成)和一个用于添加新列的按钮。 <…...
LangChain核心之Runnable接口底层实现
导读:作为LangChain框架的核心抽象层,Runnable接口正在重新定义AI应用开发的标准模式。这一统一接口设计将模型调用、数据处理和API集成等功能封装为可复用的逻辑单元,通过简洁的管道符语法实现复杂任务的声明式编排。 对于面临AI应用架构选择…...
软件评测师 案例真题笔记
2009 软件测试质量 软件测试质量管理要素包括: •测试过程,例如技术过程、管理过程、支持过程。 •测试人员及组织。 •测试工作文档,例如测试计划、测试说明、测试用例、测试报告、问题报告。 软件测试质量控制的主要方法包括:…...
RAG架构中用到的模型学习思考
前言 RAG(Retrieval-Augmented Generation,检索增强生成)架构结合了检索和生成能力,通过引入外部知识库来提升大语言模型(LLM)的回答准确性和可靠性。以下是RAG架构中常用的模型及其总结: 一、…...
统信 UOS 服务器版离线部署 DeepSeek 攻略
日前,DeepSeek 系列模型因拥有“更低的成本、更强的性能、更好的体验”三大核心优势,在全球范围内备受瞩目。 本次,我们为大家提供了在统信 UOS 服务器版 V20(AMD64 或 ARM64 架构)上本地离线部署 DeepSeek-R1 模型的…...
美尔斯通携手北京康复辅具技术中心开展公益活动,科技赋能助力银龄健康管理
2025 年 5 月 30 日,北京美尔斯通科技发展股份有限公司携手北京市康复辅具技术中心,在朝阳区核桃园社区开展 “全国助残日公益服务” 系列活动。活动通过科普讲座、健康检测与科技体验,将听力保健与心脏健康服务送至居民家门口,助…...
《前端面试题:前端响应式介绍》
前端响应式设计完全指南:从理论到实战 掌握响应式设计是构建现代网站的核心能力,也是前端面试的必考内容 一、响应式设计:移动优先时代的必备技能 在当今多设备时代,用户通过手机、平板、笔记本、桌面显示器等多种设备访问网站。…...
Redis Stack常见拓展
Redis JSON RedisJSON 是 Redis Stack 提供的模块之一,允许你以 原生 JSON 格式 存储、检索和修改数据。相比传统 Redis Hash,它更适合结构化文档型数据,并支持嵌套结构、高效查询和部分更新。 #设置⼀个JSON数据,其中$表示JSON数据的根节点…...
Linux 驱动之设备树
Linux 驱动之设备树 参考视频地址 【北京迅为】嵌入式学习之Linux驱动(第七期_设备树_全新升级)_基于RK3568_哔哩哔哩_bilibili 本章总领 1.设备树基本知识 什么是设备树? Linux之父Linus Torvalds在2011年3月17日的ARM Linux邮件列表…...
12、企业应收账款(AR)全流程解析:从发票开具到回款完成
在商业活动中,现金流如同企业的命脉,而应收管理则是维系这条命脉正常运转的重要保障。许多企业由于对应收账款缺乏有效管理,常常面临资金周转困难的问题。实践证明,建立科学的应收管理体系能够显著提升资金回笼效率,为…...
php 各版本下载
https://windows.php.net/downloads/releases/archives/ 参考资料:php5.6.40 在 win10下安装全过程 ( 图文教程、附官方下载链接 )...
【notepad++】如何设置notepad++背景颜色?
如何设置notepad背景颜色? 设置--语言格式设置 勾选使用全局背景色 例如选择护眼色---80,97,205;...
使用 C++/OpenCV 制作跳动的爱心动画
使用 C/OpenCV 制作跳动的爱心动画 本文将引导你如何使用 C 和 OpenCV 库创建一个简单但有趣的跳动爱心动画。我们将通过绘制参数方程定义的爱心形状,并利用正弦函数来模拟心跳的缩放效果。 目录 简介先决条件核心概念 参数方程绘制爱心动画循环模拟心跳效果 代码…...
Go Modules 详解 -《Go语言实战指南》
Go Modules(简称 go mod)是 Go 官方推出的包依赖管理系统,自 Go 1.11 起引入,Go 1.16 起成为默认方式,取代了旧的 GOPATH 模式。 本章将全面讲解 Go Modules 的基本原理、使用方法以及常见问题处理。 一、Go Modules 简…...
在Oxygen编辑器中使用DeepSeek
罗马尼亚公司研制开发的Oxygen编辑器怎样与国产大模型结合,这是今年我在tcworld大会上给大家的分享,需要ppt的朋友请私信联系 - 1 - Oxygen编辑器中的人工智能助手 Oxygen编辑器是罗马尼亚的Syncro Soft公司开发的一款结构化文档编辑器。 它是用来编写…...
(Go语言版))
【LeetCode 热题100】BFS/DFS 实战:岛屿数量 腐烂的橘子(力扣200 / 994 )(Go语言版)
🌊 BFS/DFS 实战:岛屿数量 & 腐烂的橘子(LeetCode 200 & 994) 两道图论基础题,涉及 BFS 与 DFS 的应用,主要用于掌握二维网格中遍历与标记访问的技巧: 🏝️ 200. 岛屿数量…...
一、基础环境配置
一、虚拟机 主:192.168.200.200 从:192.168.200.201 从:192.168.200.202 二、docker docker基础搭建,有不会的自行百度。 1.目录结构 /opt/software:软件包/opt/module:解压包,自定义脚本…...
论文阅读笔记——FLOW MATCHING FOR GENERATIVE MODELING
Flow Matching 论文 扩散模型:根据中心极限定理,对原始图像不断加高斯噪声,最终将原始信号破坏为近似的标准正态分布。这其中每一步都构造为条件高斯分布,形成离散的马尔科夫链。再通过逐步去噪得到原始图像。 Flow matching 采取…...
SQL Views(视图)
目录 Views Declaring Views Example: View Definition Example: Accessing a View Advantages of Views Triggers on Views Interpreting a View Insertion(视图插入操作的解释) The Trigger Views A view is a relation defined in terms of…...
「卫星百科」“绿色守卫”高分六号
高分六号(GF-6)是中国高分辨率对地观测系统(高分专项)的重要组成卫星,于2018年6月2日成功发射。高分六号卫星凭借其高时空分辨率、红边波段、宽覆盖能力,在农业、生态、灾害等领域提供了重要的数据支撑。本…...
秋招Day12 - 计算机网络 - IP
IP协议的定义和作用? IP协议用于在计算机网络中传递数据包,定义了数据包的格式和处理规则,确保数据能够从一个设备传递到另一个设备,中间可能经过多个不同的设备(路由器)。 IP协议有哪些作用?…...
Servlet 快速入门
文章目录 概念SpringBoot 测试案例执行原理传统 Servlet在 SpringBoot (嵌入式 Tomcat Spring MVC) 中请求从浏览器到业务代码的完整步骤关键点流程图 参考 概念 运行在服务器端的小程序, Servlet 就是一个接口,定义 Java 类被浏…...
【前端】CSS面试八股
网上现有资料已经很丰富了,我挑了些自己押面试题时总结过的来写。 Q:回流和重绘 A: 回流reflow:计算元素的几何,引发layout重绘repaint:更新元素可见样式,引发paint 回流的成本比重绘高得多&…...
[蓝桥杯]找到给定字符串中的不同字符
题目描述 在不考虑字符排列的条件下,对于相差只有一个字符的两个字符串,实现一个算法来识别相差的那个字符。要求如下: 当传入的字符串为 aad 和 ad 时,结果为 a。 当传入的字符串为 aaabccdd 和 abdcacade 时,结果为…...
Redis底层数据结构之字典(Dict)
Dict基本结构 Dict我们可以想象成目录,要翻看什么内容,直接通过目录能找到页数,翻过去看。如果没有目录,我们需要一页一页往后翻,这样时间复杂度就与遍历的O(n)一样了,而用了Dict我们就可以在O(1)的时间复杂…...
佰力博科技与您探讨低温介电温谱测试仪的应用领域
低温介电温谱测试应用领域有如下: 一、电子材料: 低温介电温谱测试仪广泛应用于电子材料的性能测试,如陶瓷材料、半导体材料、压电材料等。通过该设备,可以评估材料在高温或低温环境下的介电性能,为材料的优化和应用提…...
ubuntu之开机自启frpc
在 Ubuntu 系统中为 frpc 设置开机自启(以 frpc -c frpc.toml 命令为例),可以通过 systemd 服务实现。以下是详细步骤: 创建 systemd 服务文件 sudo vim /etc/systemd/system/frpc.service 写入以下内容(根据你的路…...