xss - sql 注入和跨站点脚本仍然存在吗?
问题描述
在查找有关 Web 攻击的一些信息时,sql 注入和跨站脚本总是摆在桌面上。我无法想象这种古老的网络攻击,在互联网上可以找到很多关于如何防范它的信息,仍然是最常用的网络攻击的前 10 名?对此有何解释?
解决方案
我会讲一个故事。
我妈妈曾经和一群志愿者一起去当地的大学校园帮助学生登记投票(在美国,人们18岁可以投票,但他们默认没有登记,他们必须填写表格) . 她和她的小组会在四边形的桌子上摆好一张桌子,里面放着一些表格,并指导学生填写并邮寄。
经过多年的努力,小组中的另一位女性说:“我们来到校园帮助这些孩子注册 10 年!他们什么时候能够自己完成?”
妈妈等人看着她,缓缓道:“每年18岁的学生都有新的。”
防御 SQL 注入和跨站点脚本也是如此。每年都有新的程序员进入这个行业。
事实上,研究表明,软件开发人员的数量每五年翻一番,这意味着在任何给定时间,50% 的软件开发人员是我认为的“初级开发人员”,经验不足五年。当这些人成为高级开发人员时,又有许多年轻的开发人员在他们之后进入这个行业。
他们所有人都需要接受培训以了解 SQL 注入和跨站点脚本防御,然后才能允许他们将代码放在实时服务器上。
一次一个。
每年。
只要有软件开发人员,SQL 注入和跨站点脚本就会继续存在。
我还可以参考SQLi Hall-of-Shame,该网页引用了有关利用 SQL 注入漏洞实施的数据泄露的新闻报道。每个月似乎都有多个这样的故事,而这些只是成为新闻的闯入事件。这无疑是冰山一角。
推荐阅读
- sed - SED 在 make 中就地更改文件 - 如何?
- windows - 有没有办法在 Docker for Windows 上查看容器磁盘使用情况?
- python - 仅在 api 网关上的冷启动时间过长?
- reactjs - 我无法从 antd 组件中获取类型名称
- ios - 如何在位置警报中更改博览会名称
- c# - 在 MVC 中将 zip 文件下载到大(400 MB)
- .net-core - Apache Ignite 2.7:ODBC Linux - 返回错误数据
- unit-testing - 如何在测试前设置对象
- python - 如何在 pd.DataFrame 中按月/周对我的时间进行分组
- swift - 什么是提供的存储桶?