加密的方式:两大类
1.对称加密 操作系统加密 password htpassword(apache) 加密和解密是一样的 加密算法 md5 sha1 没必要再解回来
2.非对称加密 ssh key 公钥,私钥 公钥随便发 私钥不能发 公钥交换算法
web应用攻击主要是XSS攻击和SQL注入攻击
XSS 跨站点脚本攻击 篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。
反射型:攻击者诱使用户点击一个嵌入恶意脚本的链接
持久型:提交含有恶意脚本的请求,保存在被攻击的web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的
消毒
httponly 浏览器禁止页面JavaScript访问带有Httponly属性的cookie
在HTTP请求中注入恶意SQL命令,服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行
SQL参数绑定
原文:http://muzinan110.blog.51cto.com/684213/1437958