108 个回答
0 赞同
0 赞同
0 赞同
0 赞同
【网络安全一百问-68】针对文件上传攻击常用的防御手段有哪些
预防手段:1、白名单预防,对文件格式限制,只允许某些格式上传2、对文件格式进行校验,前端跟服务器都要进行校验(前端校验扩展名,服务器校验扩展名、Content_Type等)3、文件上传的目录设置为不可执行。将上传目录防止到项目工程目录之外,当做静态资源文件路径,并且对文件的权限进行设定,禁止文件下的执行权限。4、系...
回答于 2022-08-23 14:53
0 赞同
0 赞同
0 赞同
0 赞同
0 赞同
【网络安全一百问-67】SQL预编译可以防御SQL注入攻击的原理是什...
在MySQL中,一条SQL语句从传入到执行经历了以下过程:检查缓存、规则验证、解析器解析为语法树、预处理器进一步验证语法树、优化SQL、生成执行计划、执行。其中对语法的解析和优化的过程其实是与传入的字段值无关的,但却比真正执行的过程更为耗费时间,因此在处理某些语句时,很容易造成时间的浪费,效率的下降。所谓的预...
回答于 2022-08-23 12:28
0 赞同
【网络安全一百问-66】账号枚举和密码爆破的区别?
两者本质都是利用了穷举法,只是穷举出的东西不同。账号枚举是通过字典穷举出网站存在的用户名;而密码爆破是通过字典爆破出某一用户的密码。
回答于 2022-08-23 12:21