用户登录,输入用户名,密码 ‘ or ‘1’=’1,如果此时使用参数构造的方式,就会出现
* from user where name = ‘’ and= ‘’ or ‘1’=‘1’
不管用户名和密码是什么内容,使查询出来的用户列表不为空 。如何防范SQL注入攻击使用预编译的是必须的,但是一般我们会从两个方面同时入手 。
2、什么是XSS攻击
跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式 。如何防范XSS攻击
1)前端,服务端,同时需要字符串输入的长度限制 。
2)前端,服务端,同时需要对HTML转义处理 。将其中的””等特殊字符进行转义编码 。
防 XSS 的核心是必须对输入的数据做过滤处理 。
3、什么是CSRF攻击
跨站点请求伪造,指攻击者通过跨站请求,以合法的用户的身份进行非法操作 。可以这么理解CSRF攻击:攻击者盗用你的身份,以你的名义向第三方网站发送恶意请求 。CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息 。如何防范CSRF攻击 。
4、什么是文件上传漏洞
文件上传漏洞,指的是用户上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力 。
许多第三方框架、服务,都曾经被爆出文件上传漏洞,比如很早之前的,以及富文本编辑器等等,可被攻击者上传恶意代码,有可能服务端就被人黑了 。如何防范文件上传漏洞
5、DDos 攻击
客户端向服务端发送请求链接数据包,服务端向客户端发送确认数据包,客户端不向服务端发送确认数据包,服务器一直等待来自客户端的确认
没有彻底根治的办法,除非不使用TCP
重要协议分布图
1、arp协议的工作原理
地址解析协议,即ARP(),是根据IP地址获取物理地址的一个TCP/IP协议 。
ARP协议工作原理:
每个主机都会在自己的 ARP 缓冲区中建立一个 ARP 列表,以表示 IP 地址和 MAC 地址之间的对应关系 。
主机(网络接口)新加入网络时(也可能只是mac地址发生变化,接口重启等),会发送免费ARP报文把自己IP地址与Mac地址的映射关系广播给其他主机 。
网络上的主机接收到免费ARP报文时,会更新自己的ARP缓冲区 。将新的映射关系更新到自己的ARP表中 。
某个主机需要发送报文时,首先检查 ARP 列表中是否有对应 IP 地址的目的主机的 MAC 地址,如果有,则直接发送数据,如果没有,就向本网段的所有主机发送 ARP 数据包,该数据包包括的内容有:源主机 IP 地址,源主机 MAC 地址,目的主机的 IP 地址等 。
当本网络的所有主机收到该 ARP 数据包时:
(A)首先检查数据包中的 IP 地址是否是自己的 IP 地址,如果不是,则忽略该数据包 。
(B)如果是,则首先从数据包中取出源主机的 IP 和 MAC 地址写入到 ARP 列表中,如果已经存在,则覆盖 。
(C) 然后将自己的 MAC 地址写入 ARP 响应包中,告诉源主机自己是它想要找的 MAC 地址 。
(D)源主机收到 ARP 响应包后 。将目的主机的 IP 和 MAC 地址写入 ARP 列表,并利用此信息发送数据 。如果源主机一直没有收到 ARP 响应数据包,表示 ARP 查询失败 。ARP高速缓存(即ARP表)是 ARP地址解析协议能够高效运行的关键
2、什么是RARP?工作原理
概括: 反向地址转换协议,网络层协议,RARP与ARP工作方式相反 。RARP使只知道自己硬件地址的主机能够知道其IP地址 。RARP发出要反向解释的物理地址并希望返回其IP地址,应答包括能够提供所需信息的RARP服务器发出的IP地址 。
- 【斯坦福】2023 AI 指数报告主要观点摘录
- 瓦房店汽车站
- 湘潭酒店
- 洛克比空难事件概况,洛克比空难谁造成的
- lol米娅个人资料照片米娅走红原因是什么
- 罗兰加洛斯
- 【暖新闻】安阳:危急时刻民警跳河救人感动市民 感动中国十大警察
- 榜单|2020十大最受欢迎的新派湘菜、面馆、麻辣烫 中国十大湘菜品牌
- 2023国际数学奥林匹克竞赛成绩:中国队全员金牌,再夺第一! 世界十大数学
- 那是我的伞是泰剧吗