第12章常见web攻击及防范

桃扇骨 2022-06-15 12:17 197阅读 0赞

> 慕课网《[强力django+杀手级xadmin 打造上线标准的在线教育平台][django_xadmin]》 学习笔记

--------------------

本章主要内容：

*  介绍最常见的sql注入攻击、 xss攻击和csrf攻击的原理以及防护

--------------------

## sql注入攻击 ##

![这里写图片描述][SouthEast]

*  主要原因  
    程序员的水平参差不齐，没有对用户的输入进行验证，使用户输入含有sql语句  
    django的orm已经对sql注入进行过防护 ，将用户输入进行了转义
 *  登陆时的sql注入  
    ![这里写图片描述][SouthEast 1]
 *  查询语句

sql_select = "select * from users_userprofile where email = '{0}' and password = '{1}'".format(username, password)

*  漏洞  
    用户名输入 ’ OR 1=1 \#  
    密码随意输  
    ![这里写图片描述][SouthEast 2]
 *  最后的sql语句永远为真  
    ![这里写图片描述][SouthEast 3]

--------------------

## XSS 攻击与防护 ##

![这里写图片描述][SouthEast 4]

*  xss攻击流程

![这里写图片描述][SouthEast 5]

![这里写图片描述][SouthEast 6]

*  防护

![这里写图片描述][SouthEast 7]

--------------------

## csrf攻击与防护 ##

![这里写图片描述][SouthEast 8]

*  CSRF攻击原理

![这里写图片描述][SouthEast 9]

[django_xadmin]: http://coding.imooc.com/class/78.html
[SouthEast]: /images/20220615/dd3283f94e444fefa2a4d9e421d51b2e.png
[SouthEast 1]: /images/20220615/42f36350943e4d5f8e4e060fa03306df.png
[SouthEast 2]: /images/20220615/6e204341dba242a99b4c4a0be375415a.png
[SouthEast 3]: /images/20220615/b24e1cd94510471e96630b7ac6971c30.png
[SouthEast 4]: /images/20220615/2dc760eaa7ef477cb75f443b3f852706.png
[SouthEast 5]: /images/20220615/a15bab866e234fd8a3ae7c5343742927.png
[SouthEast 6]: /images/20220615/3d480297cac14ca88896a74f92b5e0f5.png
[SouthEast 7]: /images/20220615/0c3c04a8bb1f4946b80e5937b8dff564.png
[SouthEast 8]: /images/20220615/8ef54698b5cc411d838490ec2460df6e.png
[SouthEast 9]: /images/20220615/a26fe232d9a54dac8b203c145ce76683.png