當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>數(shù)據(jù)庫(kù)>SQL>正文

SQL注入技術(shù)和跨站腳本攻擊的檢測(cè)

http://m.yibo1263.com　2009/4/17 7:48:22 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　在這兩年中，安全專(zhuān)家應(yīng)該對(duì)網(wǎng)絡(luò)應(yīng)用層的攻擊更加重視。因?yàn)闊o(wú)論你有多強(qiáng)壯的防火墻規(guī)則設(shè)置或者非常勤于補(bǔ)漏的修補(bǔ)機(jī)制，如果你的網(wǎng)絡(luò)應(yīng)用程序開(kāi)發(fā)者沒(méi)有遵循安全代碼進(jìn)行開(kāi)發(fā)，攻擊者將通過(guò)80端口進(jìn)入你的系統(tǒng)。廣泛被使用的兩個(gè)主要攻擊技術(shù)是SQL注入[ref1]和CSS[ref2]攻擊。SQL注入是指：通過(guò)互聯(lián)網(wǎng)的輸入?yún)^(qū)域，插入SQL meta-characters（特殊字符代表一些數(shù)據(jù)）和指令，操縱執(zhí)行后端的SQL查詢(xún)的技術(shù)。這些攻擊主要針對(duì)其他組織的WEB服務(wù)器。CSS攻擊通過(guò)在URL里插入script標(biāo)簽，然后誘導(dǎo)信任它們的用戶(hù)點(diǎn)擊它們，確保惡意Javascript代碼在受害人的機(jī)器上運(yùn)行。這些攻擊利用了用戶(hù)和服務(wù)器之間的信任關(guān)系，事實(shí)上服務(wù)器沒(méi)有對(duì)輸入、輸出進(jìn)行檢測(cè)，從而未拒絕javascript代碼。

　　這篇文章討論SQL注入和CSS攻擊漏洞的檢測(cè)技術(shù)。網(wǎng)上已經(jīng)有很多關(guān)于這兩種基于WEB攻擊的討論，比如如何實(shí)施攻擊，他們的影響，怎樣更好的編制和設(shè)計(jì)程序防止這些攻擊。然而, 對(duì)如何檢測(cè)這些攻擊并沒(méi)有足夠的討論。我們采用流行的開(kāi)源的IDS Snort[ref 3],組建根據(jù)檢測(cè)這些攻擊的規(guī)則的正則表達(dá)式。附帶，Snort默認(rèn)規(guī)則設(shè)定包含檢測(cè)CSS的方法，但是這些容易被避開(kāi)檢測(cè)。比如大多通過(guò)hex進(jìn)制編碼,如%3C%73%63%72%69%70% 74%3E代替

相關(guān)文章：

·如何防御網(wǎng)站SQL注入

·解析SQL注入十大方式保護(hù)數(shù)據(jù)安全

推薦文章

叛逆嫩模性感寫(xiě)真

宮如敏不雅照瘋傳看張馨予韓一菲獸獸誰(shuí)

不懼孔子搶位阿凡達(dá)游戲影音配置推薦

2015第十七屆“東北安博會(huì)”火爆招商

第十六屆東北國(guó)際公共安全防范產(chǎn)品博覽

2016年第五屆中國(guó)國(guó)際商業(yè)信息化博覽會(huì)

2016年第五屆中國(guó)國(guó)際POS機(jī)及相關(guān)設(shè)備展

互聯(lián)網(wǎng)電視熟了嗎 2013最火電視深解析

桑達(dá)獲邀出席2015中國(guó)（廣州）國(guó)際POS機(jī)

寶獲利報(bào)名參加“2015年度中國(guó)POS機(jī)行業(yè)

八卦圖解

More>>


叛逆嫩模性感寫(xiě)真	宮如敏不雅照瘋傳看張馨予韓一菲

周偉童魔鬼身材日本性感寫(xiě)真圖	聯(lián)想V360筆記本模特寫(xiě)真

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费