2 dignity568 dignity568 于 2014.05.15 07:33 提问

请问黑客攻击web及盗取账号密码的常见思路?web交易安全防范策略?如锁定机器的方案等

我是web虚拟交易平台开发者,近段时间出现好几起账户资金被盗的案件,程序没有查到明显的漏洞,备感疑惑;攻击者盗取了用户的账号密码,甚至支付密码!试问盗号除开木马植入、抓包解析鉴权机制,还有什么比较高明的方式?如能协助发现问题,不胜感激!

1个回答

kevin_Luan
kevin_Luan   2014.06.15 15:56

常见的有:
1. SQL注入
2. XSS 攻击
3. 其他可能还有使用程序大量尝试破解密码等等。

dignity568
dignity568 谢谢!
3 年多之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!
其他相关推荐
基本Web安全防范
防止跨站脚本攻击XSS 使用freemarker ?html 转义字符串 防止session劫持 1.通过发放令牌并在拦截器中验证令牌的方式 2.令牌增加用户IP与浏览器环境,验证用户授权时环境,与当前访问环境是否一致 3.将JSESSIONID的cookie设置为HttpOnly,方式:Tomcat context.xml 文件中配置 4.将其他cookie也设置为HttpOnly,
常见的web安全及防护原理
写在前边最近想整理一下这方面的一些知识,所以专门查阅了一些资料,跟大家一块儿共享一下。如果有说的不对的地方,欢迎大家指出。sql注入原理相信很多同学应该都会听过这个,具体就是通过把sql命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意sql命令防范1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。2.
Web安全与防御措施
服务攻击:针对程序漏洞进行攻击常见的有: SQL注入攻击文件上传攻击XSS跨站脚本攻击CSRF(Cross-site request forgery)跨站请求伪造程序逻辑漏洞 暴力攻击:如DDOS,穷举密码等C段攻击 某台服务器被攻陷后通过内网进行ARP、DNS等内网攻击社会工程学 收集管理员等个人信息等资料尝试猜测其密码或者取得信任等 最基本原则 永远不要相信用户提交上来的数据(包括
Web安全,常见攻击防范
Web安全Web安全 数据库部分释放固定权限给特定用户 使用视图 mysql防注入 密码sha1加盐加密 robotstxt 身份验证和权限控制 防范XSS攻击 字段验证 phpini的安全配置 权限:all :所有权限; se
WEB网站常见的受攻击方式及预防手段
一.跨站脚本攻击(XSS)     跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息,以及造成其它类型的攻击,例如CSRF攻击      常见解决办法:确保输出到HTML页面的
Web服务器的工作原理与安全防护策略
Web服务器的工作原理  Web服务器的工作原理并不复杂,一般可分成如下4个步骤:连接过程、请求过程、应答过程以及关闭连接。下面对这4个步骤作一简单的介绍。连接过程就是Web服务器和其浏览器之间所建立起来的一种连接。查看连接过程是否实现,用户可以找到和打开socket这个虚拟文件,这个文件的建立意味着连接过程这一步骤已经成功建立。请求过程就是Web的浏览器运用socke这个文件向其服务器而提出各种
常见的web安全问题及防范方法
sql注入漏洞名称SQL注入漏洞漏洞原理通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。漏洞分类1. 平台层SQL注入:            不安全的数据库配置或数据库平台的漏洞所致2. 代码层SQL注入:            程序员对输入未进行...
常见的Web攻击和防御总结
一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法. 一.跨站脚本攻击(XSS)     跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据
Django-常见的web攻击,及如何防止
一.sql注入攻击及防范 1.危害 sql注入攻击的危害:非法读取、篡改、删除数据库中的数据盗取用户的各种敏感信息,获取利益通过修改数据库来修改网页上的内容注入木马等等 2.防范 django的orm查询和form表单验证都过滤了sql注入攻击 3.漏洞原理 若用原生的查询方式,可以通过输入单引号 1=1(如:‘OR 1=1#)等特殊字符使原生的SQL语句代码被改变
常见的web安全问题及防御
sql注入原理 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 总的来说有以下几点: 1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限