1. SQL注入

- 简介：攻击者通过在输入字段中插入恶意SQL代码，以操纵数据库查询，获取或篡改数据。

- 防护方案：

使用预处理语句（Prepared Statements）和参数化查询（Parameterized Queries）。

进行输入验证，限制特殊字符的使用。

2. 跨站脚本（XSS）

- 简介：攻击者在Web页面中注入恶意脚本，当其他用户访问该页面时，恶意脚本将被执行，从而窃取用户信息或进行其他恶意操作。

- 防护方案：

进行输出编码（Output Encoding），福州软件开发确保用户输入的内容在页面渲染时不会被解释为代码。

使用内容安全策略（Content Security Policy，CSP）限制页面可以加载的资源。

3. 跨站请求伪造（CSRF）

- 简介：攻击者通过诱导用户点击恶意链接，利用用户的身份执行未授权的操作。

- 防护方案：

在表单和请求中加入CSRF令牌（Token）。

验证请求的来源（Referer Header）。

4. 不安全的直接对象引用

- 简介：攻击者通过修改URL或参数直接访问未经授权的对象（如文件、数据库记录）。

- 防护方案：

实施权限检查，确保用户只能访问其有权限的对象。

使用间接引用机制，避免直接暴露对象标识。

5. 安全配置错误

- 简介：Web服务器、数据库等组件的配置不当，可能导致敏感信息泄露或被攻击利用。

- 防护方案：

定期检查和更新配置，关闭不必要的服务和端口。

使用安全基线配置工具（如OWASP ASVS）进行检查。

• 应用
• 常见
• Web
• 安全漏洞