HTML5安全风险之WebSQL攻击详解

来源:本网整理

病毒的侵袭、黑客的非法闯入、数据窃听和拦截、拒绝服务攻击、垃圾邮件。1、不良信息的传播通俗点,就是你玩游戏,或者聊天,账号被盗,信息被别人获取。如果你用的是个人PC,那你的虚拟财产也会受到网络黑客的威胁。在网络中,没有安全的地方。2、网络发展的早期,人们更多地强调网络的方便性和可用性,而忽略了网络的安全性。当网络仅仅用来传送一般性信息的时候,安全问题并没有突出地表现出来。但是,当在网络上运行关键性的,当企业的主要业务运行在网络上,当政府部门的活动正日益网络化的时候,计算机网络安全就成为一个不容忽视的问题。4、影响网络不安全的因素,有很多,总结起来主要有以下几种类型:硬件:比如说服务器故障,线路故障等。软件:不安全的软件服务,分为人为和非人为因素。网络操作系统:不安全的协议,比如tcp、ip协议本身就是不安全的,还有个人的不当操作www.zgxue.com防采集请勿采集本网。

s">

HTML5安全风险之WebSQL攻击详解

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-26 09:52:14 我要评论 数据库安全一直是后端人员广泛关注和需要预防的问题。但是自从HTML5引入本地数据库和WebSQL之后,前端开发对于数据库的安全也必须要有所了解和警惕。WebSQL的安全问题通常表现为两个部分。 dy("gg_l");dy("gg_r"); ">

一、WebSQL安全风险简介

你电脑上的软件会对网站进行自动检测【像在q里面对方发过来的网址也会进行检测告诉你是否安全】,一般显示有风险的网站都是有问题的【比如广告随便跳,木马啊,病毒啊之类的】,所以建议最好不要

数据库安全一直是后端人员广泛关注和需要预防的问题。但是自从HTML5引入本地数据库和WebSQL之后,前端开发对于数据库的安全也必须要有所了解和警惕。WebSQL的安全问题通常表现为两个部分:

防患于未然是很有必要的,不能心存侥幸。当然有些风险是不可预见的,最好购买必要的保险,为了自己也是为了家人。仅供参考。

第一种是SQL注入:和本地数据库一样,攻击者可以通过SQL注入点来进行数据库攻击。

网上支付安全隐患 网上支付对于很多人来说并不陌生。你也许通过某家商业银行的网上银行转账、支付交易保证金,或是通过一些专业的网上支付服务商(如“支付宝”)进行过网上购物在线支付。所有

另外一方面,如果Web App有XSS漏洞,那么本地数据很容易泄漏,可以想想本地数据库里存储了用户最近交易记录或者私信的情况。

风险回避 是指在完成项目风险分析与评价后,如发现项目风险发生的概率高,损失大,又没有其他有效的对策来降低风险时,应采取放弃项目、放弃原有计复划或改变目标等方法,使其不发生或不再发展,

二、WebSQL安全风险详析

物体打击 机械伤害、起重伤害、车辆伤害 瓦斯爆炸、道火药爆炸、锅炉爆炸、容器爆炸、其他爆炸 这个是20类风险,具体您的岗位有哪答些安全风险就要结合自身工作内容来辨识了。

1、SQL注入

例如我们有一个URL为http:/blog.csdn.net/hfahe?id=1,它接收了一个id参数来进行本地数据库查询并输出,对应的SQL语句为“select name from user where id = 1”。

但是针对这个简单的SQL查询,攻击者可以构造一个虚假的输入数据“1 or 1 = 1”,那么我们的SQL语句将变为“select name from user where id = 1 or 1 = 1”。这就相当糟糕了,因为1=1这个条件总是成立的,那么这条语句将遍历数据库user表里的所有记录并进行输出。

利用这种方式,攻击者可以构造多种攻击的SQL语句,来操纵用户的本地数据库记录。

2、XSS与数据库操纵

在有XSS漏洞的情况下,攻击者获取本地数据需要如下几个步骤:

1)获取JavaScript数据库对象

2)获取SQLite上的表结构

3)获取数据表名

4)操作数据

例如如下脚本完整的实现了上面的步骤,我在Chrome控制台里运行即可得到用户本地数据库的表名,利用这个表名攻击者可以用任何SQL语句来完成攻击。

三、防御之道

针对WebSQL攻击,我们有如下方法预防:

1)  检查输入类型,过滤危险字符

我们需要保证输入类型符合预期,例如上面的id参数一定是数字类型;同时过滤掉危险的关键字和符号,像PHP里addslashes这个函数的作用一样。

2)  在SQL语句中使用参数形式

SQL语句是可以用参数形式的,例如

01.executeSql("SELECTname FROM stud WHERE id=" + input_id)

这种字符串拼接的形式并不安全,可以换为

executeSql("SELECTname FROM stud WHERE id=?“, [input_id]);)

这样能保证参数的输入符合设定的类型。

3)谨慎对待每一次SQL操作

无论是select、modify、update或者delete,你编写的任何一条SQL语句操作都有可能成为攻击者的攻击对象,造成重大损失,所以都必须要谨慎对待。

4)不要存储重要数据

本地数据库永远透明而不安全,重要的数据必须要存储在服务器上,本地数据库里没有重要数据就不会对用户造成重大损失。

5)杜绝XSS漏洞

以上就是WebSQL攻击详细介绍,希望对大家学习WebSQL攻击有所帮助。

安全风险和安全隐患(又叫做事故隐患)有3点不同:一、两者的实质不同:1、安全风险的实质:传统上,安全风险管理的方法有两种,前瞻性方法和反应性方法,各有优点与缺点。确定某一风险的优先级也有两种不同的方法,定性安全风险管理和定量安全风险管理。2、安全隐患的实质:在日常的生产过程或社会活动中,由于人的因素,物的变化以及环境的影响等会产生各种各样的问题、缺陷、故障、苗头、隐患等不安全因素。二、两者的分类不同:1、安全风险的分类:安全风险分为前瞻性方法和反应性方法。2、安全隐患的分类:一般事故隐患和重大事故隐患。三、两者的注意事项不同:1、安全风险的注意事项:(1)风险识别的对象,即在无砟轨道施工中,需要考虑哪些方面的风险时间。(2)致使这些风险事件发生的风险因素,以及风险事件发生后造成的后果.(3)确定各个风险事件的权重。2、安全隐患的注意事项:(1)一般性事故隐患,应要求有关区域部门限期排除。(2)重大事故隐患,应做出暂时局部、全部停产停业或停止使用,并立即上报上级政府主管部门,根据实际情况和具体要求,进行限期整改。(3)特别重大事故隐患,应立即做出停产停业,立即上报上级政府主管部门,并及时进行人员疏散、加强安全警戒等相应措施,进行彻底整改。参考资料来源:百度百科-安全风险参考资料来源:百度百科-事故隐患内容来自www.zgxue.com请勿采集。

免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
Copyright © 2017 www.zgxue.com All Rights Reserved