WEB应用安全与威胁话题讨论 你了解的注入有哪些它们有什么危害（获奖名单已公布2-26）

ddd010

很少做web开发，就对url的sql注入有点了解（很久以前做过网站，研究了下）。
1.你了解的注入有哪些？ 它们有什么危害？
sql注入，就知道这个。
危害嘛：主要是信息暴露。
如果服务器的关键信息暴露了，那整个服务器就像一个睡着了的漂亮女人，麻烦大了，后果也不堪设想。
希望大家特别注意服务器安全，这是我最近做网管的直观感受。。。


切记，别开不必要的东西，对已有的要进行权限管理等。

dinglang_2009

回复 10# action08
你可以在网上看看  有相关介绍的   我这里就不重述了

   

瀚海书香

回复 1# arron刘
主要的注入比如：sql注入、xml注入、代码注入、CRLF注入

稍微有点良心的script kids会偷窥数据；万一遇到SB的script kids，有可能会恶意删除你的数据。

   

hbsycw

Web应用安全威胁与防治，好话题，尝试参与下：

1.你了解的注入有哪些？ 它们有什么危害？
答：个人了解的主要是SQL注入和XSS跨站脚本攻击的SESSION注入，危害吗，当然是WEB系统遭到非法入侵，危害程度视入侵者目的和系统数据的重要性而论，这个不好一概而述。

2.如何有效地预防XSS？
答：要有效预防XSS跨站脚本攻击，就要对用户输入的数据进行“脚本过滤”，对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

3. URL中直接引用对象，如何处理授权问题？
答：对于URL中直接引用对象，可以采取实现Session标记(session tokens)和增加权限来进行授权。

fengyun530

第二点，2.如何有效地预防XSS？

除了做好数据过滤以外，在前端代码的地方应该少用，甚至不用JS里的eval，这是一个危险的执行语句。在后台同样应该禁用一些系统类函数。涉及到跨域的共享应用，比如多站点共用同一个帐号信息等，推荐用成熟的方案去做，目前开源系统一般是借用COOKIE的P3P性质，对用户信息进行二次加密， 具体算法开源系统里面有，它是一个随机变换的字符串，每次传输的值都不一样！解密需要根据KEY和SALT同时进行。即达到多站点共享信息的便利性，又能保证一定的安全性。

在安全防护方面补充：

   如果服务器是linux系统，设置好对应的安全权限，不要用777这种满权限。对于只读文件只赋予读的权限，非写不可才加写权限，文件用户组不要使用root这种超级用户，设置为apache即可 。总之在可以正常访问和使用的情况下，以最小权限范围的原则进行就对了。

hansion3406

看过，的确不错。谢谢楼主

linux_c_py_php

跨站是主要的, 会伤害用户, 网站被坏人当做钓鱼的跳板, 很不和谐.

folklore

注入： 对于HTTP协议来说，只有两种：
1. form注入，包括有名的SQL注入
2. Cookie注入;

Over

pitonas

忽然明白，原来可以这么简单。

可接受的好方法

dinglang_2009

咦  奇怪了  怎么还没把书送过来啊