Web安全
深度解析 XSS 跨站脚本攻击原理与防御策略
什么是 XSS? XSS(Cross-Site Scripting)即跨站脚本攻击,是 Web 应用中最常见的安全漏洞之一。攻击者通过在页面中注入恶意 JavaScript 代码,当其他用户访问该页面时,代码会在用户浏览器中执行,从而窃取 Cookie、会话令牌,或进行钓鱼攻击。 XSS 的三种…
→
Web安全
SQL 注入:从原理到实战绕过技术
SQL 注入概述 SQL 注入(SQL Injection)是一种将恶意 SQL 代码插入到应用程序查询语句中的攻击技术。当应用程序对用户输入处理不当时,攻击者可以操纵数据库查询,获取未授权数据,甚至删除整个数据库。 原理详解 假设一个 PHP 登录查询: php // 存在漏洞的代码 $sql…
→
Web安全
CSRF 攻击:利用信任骗取用户操作的隐形威胁
什么是 CSRF? CSRF(Cross-Site Request Forgery,跨站请求伪造)利用用户已登录的身份,在用户不知情的情况下,诱导其浏览器向目标网站发起恶意请求。 与 XSS 的区别:XSS 在受害者浏览器执行攻击者代码;CSRF 在受害者浏览器发送对目标网站的正常请求(攻击代码在…
→