java面试题网

普通会员

118

帖子

12

回复

165

积分

楼主
发表于 2018-05-25 14:43:51 | 查看: 1212| 回复: 0

1、跨站脚本攻击(CSS or XSS, Cross Site Scripting) 

方案:输入或输出时对其进行字符过滤或转义处理。

2、SQL注入攻击(SQL injection)

方案:输入输出都是过滤、合法性检查和长度限制等通用方法。

3、远程命令执行(Code execution,个人觉得译成代码执行并不确切) 

方案:严格限制运行Web服务的用户权限。

4、目录遍历(Directory traversal) 

方案:1、同样是限制Web应用在服务器上的运行  2、进行严格的输入验证,控制用户输入非法路径。

5、文件包含(File inclusion)

方案:对文件来源进行审查

6、脚本代码暴露(Script source code disclosure) 

7、Http请求头的额外的回车换行符注入(CRLF injection/HTTP response splitting)

8、跨帧脚本攻击(Cross Frame Scripting)

9、PHP代码注入(PHP code injection)

10、XPath injection

11、Cookie篡改(Cookie manipulation)

12、URL重定向(URL redirection)

13、Blind SQL/XPath injection for numeric/String inputs

14、Google Hacking

15、表单、AJAX提交必须执行CSRF安全过滤。

16、URL外部重定向传入的目标地址必须执行白名单过滤。


您需要登录后才可以回帖 登录 | 立即注册

java面试题网无聊看看网与java建站系统提供技术支持V2.1 网站地图 © 2016-2018