web攻击有哪些?怎么防护?
1、DoS和DDoS攻击(DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击。其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击)
防范:(1) 反欺骗:对数据包的地址及端口的正确性进行验证,同时进行反向探测。(2) 协议栈行为模式分析:每个数据包类型需要符合RFC规定,这就好像每个数据包都要有完整规范的着装,只要不符合规范,就自动识别并将其过滤掉。(3) 特定应用防护:非法流量总是有一些特定特征的,这就好比即便你混进了顾客群中,但你的行为还是会暴露出你的动机,比如老重复问店员同一个问题,老做同样的动作,这样你仍然还是会被发现的。(4) 带宽控制:真实的访问数据过大时,可以限制其最大输出的流量,以减少下游网络系统的压力。
2、CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web攻击,但很多开发者对它很陌生。CSRF也是Web安全中最容易被忽略的一种攻击。
防范:(1) 验证码。应用程序和用户进行交互过程中,特别是账户交易这种核心步骤,强制用户输入验证码,才能完成最终请求。在通常情况下,验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验,网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段,在关键业务点设置验证码。(2) Referer Check。HTTP Referer是header的一部分,当浏览器向web服务器发送请求时,一般会带上Referer信息告诉服务器是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律,如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面,来判断是不是CSRF攻击。但在某些情况下如从https跳转到http,浏览器处于安全考虑,不会发送referer,服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞,那么攻击者可以在其他网站注入恶意脚本,受害者进入了此类同域的网址,也会遭受攻击。出于以上原因,无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。(3) Anti CSRF Token。目前比较完善的解决方案是加入Anti-CSRF-Token,即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token,并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值,会进行校验该请求当中的token和cookie当中的token值是否都存在且相等,才认为这是合法的请求。否则认为这次请求是违法的,拒绝该次服务。这种方法相比Referer检查要安全很多,token可以在用户登陆后产生并放于session或cookie中,然后在每次请求时服务器把token从session或cookie中拿出,与本次请求中的token 进行比对。由于token的存在,攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时,当某个页面消耗掉token后,其他页面的表单保存的还是被消耗掉的那个token,其他页面的表单提交时会出现token错误。
3、XSS(Cross Site Scripting),跨站脚本攻击。为和层叠样式表(Cascading Style Sheets,CSS)区分开,跨站脚本在安全领域叫做“XSS”。
防范:(1) 输入过滤。永远不要相信用户的输入,对用户输入的数据做一定的过滤。如输入的数据是否符合预期的格式,比如日期格式,Email格式,电话号码格式等等。这样可以初步对XSS漏洞进行防御。上面的措施只在web端做了限制,攻击者通抓包工具如Fiddler还是可以绕过前端输入的限制,修改请求注入攻击脚本。因此,后台服务器需要在接收到用户输入的数据后,对特殊危险字符进行过滤或者转义处理,然后再存储到数据库中。(2) 输出编码。服务器端输出到浏览器的数据,可以使用系统的安全函数来进行编码或转义来防范XSS攻击。在PHP中,有htmlentities()和htmlspecialchars()两个函数可以满足安全要求。相应的JavaScript的编码方式可以使用JavascriptEncode。(3) 安全编码。开发需尽量避免Web客户端文档重写、重定向或其他敏感操作,同时要避免使用客户端数据,这些操作需尽量在服务器端使用动态页面来实现。(4) HttpOnly Cookie。预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时,将其属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript窃取,保护用户cookie信息。(5)WAF(Web Application Firewall),Web应用防火墙,主要的功能是防范诸如网页木马、XSS以及CSRF等常见的Web漏洞攻击。由第三方公司开发,在企业环境中深受欢迎。
4、SQL注入(SQL Injection),应用程序在向后台数据库传递SQL(Structured Query Language,结构化查询语言)时,攻击者将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
防范:(1) 防止系统敏感信息泄露。设置php.ini选项display_errors=off,防止php脚本出错之后,在web页面输出敏感信息错误,让攻击者有机可乘。(2) 数据转义。设置php.ini选项magic_quotes_gpc=on,它会将提交的变量中所有的’(单引号),”(双引号),\(反斜杠),空白字符等都在前面自动加上\。或者采用mysql_real_escape()函数或addslashes()函数进行输入参数的转义。(3) 增加黑名单或者白名单验证。白名单验证一般指,检查用户输入是否是符合预期的类型、长度、数值范围或者其他格式标准。黑名单验证是指,若在用户输入中,包含明显的恶意内容则拒绝该条用户请求。在使用白名单验证时,一般会配合黑名单验证。
5、上传漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。该漏洞允许用户上传任意文件可能会让攻击者注入危险内容或恶意代码,并在服务器上运行。
防范: (1)检查服务器是否判断了上传文件类型及后缀。 (2) 定义上传文件类型白名单,即只允许白名单里面类型的文件上传。 (3) 文件上传目录禁止执行脚本解析,避免攻击者进行二次攻击。 Info漏洞 Info漏洞就是CGI把输入的参数原样输出到页面,攻击者通过修改输入参数而达到欺骗用户的目的。
链接加反斜杠跳转到其他网站
点击网站链接自动跳转到其他网站有三种情况:
1、网站设置的跳转
2、IP地址被劫持了
3、服务当地的运营商设置的强制跳转
一、网站管理员设置的跳转无法更改,只有联系网站管理员进行设置。
二、自身电脑被劫持的处理方法如下:
1、打开浏览器设置选项,清空用户的缓存文件和cookies 。注意别让文件丢失。
2、查看hosts文件是否被改:
1、点击菜单里的运行,然后输入“C:\Windows\System32\drivers\etc\”回车。
2、使用管理员身份,选择文本文件打开方式。
3、查看关于9991域名是否被劫持,直接删除该行。(例如:指向0.0.0.0、127.1或其他IP地址)
4、退出保存。
请高手帮忙,网址后面加斜杠就可以打开网站,不加斜杠就打不开,请问是什么原因啊?
谢谢帮忙!! 1.关于队伍问题: (1)请问怎样才能退出别人的队伍呢?你是什么种族就去哪个种族去买坐骑 总共加起来不到500G吧 我学的是采药和
网站URL网址末尾是否应该使用反斜杠?
当对网站进行SEO优化时,难免会遇到因为URL导致的重复页面问题,其中一个比较常见的现象就是因页面地址后是否有添加反斜杠造成的,举例如下:
链接A:
www.example.com/abc/
链接B:
www.example.com/abc
以上的两个链接唯一的区别就是结尾的反斜杠,其对应的内容相同,从普通用户角度而言,这样的链接其实就是一个,而从搜索引擎而言,不同的URL地址对应同样的内容,那么就容易被判断成重复内容,这也是我们在优化时最不愿意见到的现象。
那么网站在进行URL优化时,是否应该保留URL后面的反斜杠?
首先,要理解网站使用反斜杠和不使用反斜杠的区别?
当URL后不加斜杠指向的是网站目录下的一个文件,而加了反斜杠则表示指向的是一个目录,也就是目录与文件的区别。
其次,网址添加反斜杠的好处?
网站使用了反斜杠能加快网站载入时间,主要是因为网址没有加上反斜杠会给服务器增加一个查找是否有同名文件的过程。原理如下:网址末尾加了反斜杠会直接告知浏览器现在指向的是一个目录,并直接读取该目录下的默认文件。而没有加上反斜杠时浏览器首先会尝试读取根目录下的一个文件,如果没有该文件再查找一个与该文件同名的目录,最后才读取目录下的默认文件。
当我们明确了添加反斜杠对网站优化的益处,达闻提供了以下网址规范化SEO优化方法供参考:
1,统一站内所有连接入口,避免在站内出现两种类型的链接。
2,对不带反斜杠的URL进行301重定向配置,(如是apache服务器,则在.htaccess中进行配置)这里指的注意的是当搜索引擎蜘蛛访问的是不带反斜杠的页面,这时使用的301可能会些微的影响到页面的加载速度。
3,由于百度近期公开了对canonical标签的支持,也可以在不带反斜杠的页面上添加canonical标签,提示搜索引擎唯一权威版本链接。
4,当用户自由传播网站链接时,URL的规范性可能很难得到保证,这个时候如果站长不愿意因为301延缓页面加载,建议进入站长工具,查看获得外链最多的页面地址是否是规范的,根据具体的链接情况配置网站URL的展现形式。本文由
http://www.jnsino.com
编辑,转载请注明!
ASP王网站问题 不能以斜杠或反斜杠开始
说明是你本地IIS没设置好。
要设置开启父目录。
还有要以斜线开头的路径,不是能include
file而应该是include
virtual
ASP程序员超级群500人44373160开门语:百度ASP知道
关于电脑病毒
微软Transact-SQL的调试环境通常有两种:一种是窗口模式“SQL查询分析器”,另一种是命令行模式“OSQL”(早期用“ISQL”)
1. SQL 查询分析器
Microsoft® SQL Server™ 2000 SQL 查询分析器是一种图形工具,您可以使用它进行以下操作:
创建查询和其它 SQL 脚本,并针对 SQL Server 数据库执行它们。("查询"窗口)
由预定义脚本快速创建常用数据库对象。(模板)
快速复制现有数据库对象。(对象浏览器脚本功能)
在参数未知的情况下执行存储过程。(对象浏览器过程执行功能)
调试存储过程。(T-SQL 调试程序)
调试查询性能问题。(显示执行计划、显示服务器跟踪、显示客户统计、索引优化向导)
在数据库内定位对象(对象搜索功能),或查看和使用对象。(对象浏览器)
快速插入、更新或删除表中的行。("打开表"窗口)
为常用查询创建键盘快捷方式。(自定义查询快捷方式功能)
向"工具"菜单添加常用命令。(自定义"工具"菜单功能)
可以从"启动"菜单直接运行 SQL 查询分析器,或从 SQL Server 企业管理器内运行它。还可以通过执行 isqlw 实用工具从命令提示符运行 SQL 查询分析器。
————————————————————————————
2. OSQL工具
osql 实用工具使您得以输入 Transact-SQL 语句、系统过程和脚本文件。该实用工具通过 ODBC 与服务器通讯。
语法
osql
[-?] |
[-L] |
[
{
{-U login_id [-P password]}
| -E
}
[-S server_name[\instance_name]] [-H wksta_name] [-d db_name]
[-l time_out] [-t time_out] [-h headers]
[-s col_separator] [-w column_width] [-a packet_size]
[-e] [-I] [-D data_source_name]
[-c cmd_end] [-q "query"] [-Q "query"]
[-n] [-m error_level] [-r {0 | 1}]
[-i input_file] [-o output_file] [-p]
[-b] [-u] [-R] [-O]
]
参数:
-?
显示 osql 开关的语法摘要。
-L
列出在本地配置的服务器和在网络上广播的服务器的名称。
-U login_id
用户登录 ID。登录 ID 区分大小写。
-P password
是用户指定的密码。如果未使用 -P 选项,osql 将提示输入密码。如果在命令提示符的末尾使用 -P 选项而不带密码,osql 使用默认密码 (NULL)。密码区分大小写。
OSQLPASSWORD 环境变量使您得以为当前会话设置默认密码。因此,不需要通过硬编码来在批处理文件中设置密码。
如果没有为 -P 选项指定密码,osql 首先检查 OSQLPASSWORD 变量。如果未设置值,osql 使用默认密码 (NULL)。以下示例在命令提示符处设置 OSQLPASSWORD 变量,然后访问 osql 实用工具:
C:\SET OSQLPASSWORD=abracadabraC:\osql -E
使用信任连接而不请求密码。
-S server_name[\instance_name]
指定要连接的 Microsoft® SQL Server™ 2000 实例。在该服务器上指定 server_name 以连接到 SQL Server 的默认实例。在该服务器上指定 server_name\instance_name 以连接到一个已命名的 SQL Server 2000 的实例。如果未指定服务器,osql 将连接到本地计算机上的 SQL Server 默认实例。从网络上的远程计算机执行 osql 时,此选项是必需的。
-H wksta_name
是工作站名称。工作站名称存储在 sysprocesses.hostname 中并由 sp_who 显示。如果未指定此选项,则采用当前计算机名称。
-d db_name
启动 osql 时发出一个 USE db_name 语句。
-l time_out
指定 osql 登录超时之前的秒数。登录到 osql 的默认超时为 8 秒。
-t time_out
指定命令超时之前的秒数。如果未指定 time_out 值,则命令不会超时。
-h headers
指定要在列标题之间打印的行数。默认为每一查询结果集打印一次标题。用 –1 指定不打印标题。如果使用 -1,则在参数和设置之间一定不能有空格(可以是 -h-1,不能是 -h –1)。
-s col_separator
指定列分隔符字符,其默认为空格。若要使用对操作系统有特殊含义的字符(例如 | ; ),请将该字符用双引号 (") 引起来。
-w column_width
允许用户设置屏幕输出的宽度。默认为 80 个字符。当输出行达到其最大屏幕宽度时,会拆分为多个行。
-a packet_size
使您得以请求不同大小的数据包。packet_size 的有效值在 512 到 65535 之间。osql 的默认值为服务器的默认值。数据包大小的增加可以提高较大脚本执行的性能,在这种执行中 GO 命令之间 SQL 语句的数量很重要。Microsoft 的测试表明 8192 是大容量复制操作典型的最快设置。可以请求更大的数据包大小,但如果请求不能得到批准,则 osql 默认为服务器的默认值。
-e
回显输入。
-I
设置 QUOTED_IDENTIFIER 连接选项为开启。
-D data_source_name
连接到用 Microsoft SQL Server 的 ODBC 驱动程序定义的 ODBC 数据源。osql 连接使用该数据源中指定的选项。
说明 该选项不适用于其它驱动程序定义的数据源。
-c cmd_end
指定命令终止符。默认情况下,通过单独在一行中输入 GO 来终止命令并将其发送到 SQL Server 2000。在重置命令终止符时,不要使用对操作系统有特殊含义的 Transact-SQL 保留字或字符,无论其前面是否有反斜杠。
-q "query"
启动 osql 时执行查询,但是在查询完成时不退出 osql。(注意查询语句不应包含 GO)。如果从批处理文件中发出查询,请使用 %variables 或环境 %variables%。例如:
SET table = sysobjectsosql /q "Select * from %table%"将查询用双引号引起来,将查询中嵌入的任何内容用单引号引起来。
-Q "query"
执行查询并立即退出 osql。将查询用双引号引起来,将查询中嵌入的任何内容用单引号引起来。
-n
从输入行中删除编号和提示符号 ()。
-m error_level
自定义错误信息的显示。显示指定的或更高严重级别错误的消息数、状态和错误级别。不显示严重级别低于指定级别的错误的任何信息。用 -1 指定与消息一起返回所有标题,即使是信息类的消息。如果用 –1,则在参数和设置之间不能有空格(可以是 -m-1,不能是 -m -1)。
-r {0 | 1}
将消息输出重定向到屏幕 (stderr)。如果未指定参数,或指定参数为 0,则仅重定向严重级别为 17 或更高的错误信息。如果指定参数为 1,则将重定向所有消息输出(包括 "print")。
-i input_file
标识包含一批 SQL 语句或存储过程的文件。小于 () 比较运算符可以用来代替 –i。
-o output_file
标识从 osql 接收输出的文件。大于 () 比较运算符可以用来代替 –o。
如果 input_file 不是 Unicode 并且没有指定 -u,则 output_file 将存储为 OEM 格式。如果 input_file 是 Unicode 或者指定了 -u,则 output_file 将存储为 Unicode 格式。
-p
打印性能统计。
-b
指定发生错误时 osql 退出并返回一个 DOS ERRORLEVEL 值。当 SQL Server 错误信息的严重级别为 10 或更高时,返回给 DOS ERRORLEVEL 变量的值为 1;否则返回 0。Microsoft MS-DOS® 批处理文件可以测试 DOS ERRORLEVEL 的值并适当处理错误。
-u
指定 output_file 存储为 Unicode 格式,而不管 input_file 为何种格式。
-R
指定在将货币、日期和时间数据转换为字符数据时 SQL Server ODBC 驱动程序使用客户端设置。
-O
为与 isql 的早期版本行为匹配,指定停用某些 osql 功能。下列功能停用:
EOF 批处理
控制台宽度自动调整
宽信息
同时还将 DOS ERRORLEVEL 的默认值设置为 –1。
注释
osql 实用工具从操作系统直接启动,并且使用本文中列出的区分大小写的选项。启动后,osql 接受 SQL 语句并将它们交互地发送到 SQL Server。结果被格式化并显示在屏幕上 (stdout)。可使用 QUIT 或 EXIT 退出 osql。
如果启动 osql 时未指定用户名,SQL Server 2000 将检查环境变量并使用它们,例如 osqluser=(user) 或 osqlserver=(server)。如果未设置环境变量,则使用工作站用户名。如果未指定服务器,则使用工作站名称。
如果 -U 或 -P 选项都没有使用,则 SQL Server 2000 将尝试使用 Windows 身份验证模式进行连接。身份验证基于运行 osql 的 Microsoft Windows NT® 用户帐户。
osql 实用工具使用 ODBC API。该实用工具使用 SQL Server 2000 SQL-92 连接选项的 SQL Server ODBC 驱动程序默认设置。
osql命令:
除了 osql 中使用的 Transact-SQL 语句外,下表中的命令也可用。
命令 描述
GO 执行最后一个 GO 命令之后输入的所有语句。
RESET 清除已输入的所有语句。
ED 调用编辑器。
!! command 执行操作系统命令。
QUIT 或 EXIT( ) 退出 osql。
CTRL+C 键 不退出 osql 而结束查询。
仅当命令终止符 GO(默认)、RESET、ED、!!、EXIT、QUIT 和 CTRL+C 出现在一行的开始(紧跟 osql 提示符)时才可以识别。osql 忽视同一行中这些关键字后输入的任何内容。
GO 表明一批的结束和任何已被高速缓存的 Transact-SQL 语句的执行。在每个输入行的结尾按 ENTER 键时,osql 将高速缓存此行的语句。键入 GO 后按 ENTER 键时,所有当前已缓存的语句都将作为批处理发送到 SQL Server。
当前的 osql 实用工具工作起来就好像在任何被执行的脚本结尾处都带有隐含的 GO,因而脚本中的所有语句都将执行。最后一个 GO 后的任何语句都不执行。
通过键入以命令终止符作为开始的行来结束命令。可以在命令终止符后输入一个整数来指定命令运行的次数。例如,若要执行此命令 100次,请键入:
SELECT x = 1GO 100执行结束时打印一次结果。osql 不接受每行字符数超过 1,000 的结果。长语句应当跨多个行书写。
通过在行首键入 ED,用户可以在当前查询缓冲区上调用编辑器。编辑器在 EDITOR 环境变量中定义。默认编辑器为"edit"。可以通过设置 EDITOR 环境变量来指定其它编辑器。例如,若要将默认编辑器指定为 Notepad,请在操作系统提示符处输入:
SET EDITOR=notepad操作系统命令:
通过用两个惊叹号 (!!) 开始一行,然后输入命令的方式,也可以执行操作系统命令。Windows NT 的命令撤回功能可用来撤回和修改 osql 语句。键入 RESET 可以清除现有的查询缓冲区。
在运行存储过程时,osql 在批处理中的每个结果集之间打印一个空行。此外,如果没有应用于已执行的语句,则"0 行受到影响"消息不会出现。
交互使用osql:
若要交互性使用 osql,请在命令提示符处键入 osql 命令(以及任何选项)。
可以通过键入类似下行的命令,在包含由 osql 执行的查询的文件(例如 Stores.qry)中进行读取:
osql /U alma /P /i stores.qry该文件必须包含命令终止符。
可以通过键入类似下行的命令,在包含查询的文件(例如 Titles.qry)中进行读取并将结果导向另一文件:
osql /U alma /P /i titles.qry /o titles.res交互性使用 osql 时,为把操作系统文件读入到命令缓冲区,可使用:r file_name。不要在文件中包含命令终止符;在完成编辑后交互输入终止符。
插入注释:
在 osql 提交给 SQL Server 的 Transact-SQL 语句中可以包含注释。允许使用两种注释风格类型:-- 和 /*...*/。
使用exit返回osql结果
可以使用 SELECT 语句的结果作为 osql 的返回值。第一个结果行的第一列转换为 4 字节的整数(长整型)。MS-DOS 将低字节传递给父进程或操作系统错误级别。Windows NT 则传递整个 4 字节整数。语法为:
EXIT(query)
例如:
EXIT(SELECT @@ROWCOUNT)EXIT(SELECT 5)也可以包含 EXIT 参数,使其作为批处理文件的一部分。例如:
osql /Q "EXIT(SELECT COUNT(*) FROM '%1')"osql 实用工具将圆括号 ( ) 中输入的所有内容原样传递给服务器。如果存储系统过程选择了一个集合并返回一个值,则仅返回选择的内容。在圆括号之间无参数的 EXIT( ) 语句执行批处理中此语句前的所有内容,然后退出,而不返回值。
EXIT 格式有四种:
EXIT
不执行批处理就立即退出,无返回值。
EXIT( )
执行批处理后退出,无返回值。
EXIT(query)
执行包括查询的批处理,返回查询的结果后退出。
状态为 127 的 RAISERROR。
如果在 osql 脚本中使用 RAISERROR,并且出现状态 127,则 osql 会退出并将消息 ID 返回给客户程序。例如:
RAISERROR(50001, 10, 127)该错误会导致 osql 脚本终止并将消息 ID 50001 返回给客户程序。
SQL Server 保留介于 -1 到 -99 之间的返回值;osql 定义下列值:
-100
选择返回值前遇到的错误。
-101
选择返回值时找不到行。
-102
选择返回值时发生转换错误。
显示 money 和 smallmoney 数据类型:
osql 只用两位小数位数显示 money 和 smallmoney 数据类型,但 SQL Server 用四位小数位数在内部存储这两类数据的值。请看下例:
SELECT CAST(CAST(10.3496 AS money) AS decimal(6, 4))此语句的结果为 10.3496,说明该值是原样按完整的小数位存储的。
网址斜杠“/”后表示什么意思?
正斜杠/slash 表示除法,分隔。在windows系统中通常用来分隔命令行参数,/表示选项等。不能作为文件名。
而在unix系统中,/表示目录。由于web遵循unix命名,所以在网址(URL)中,/表示目录。
反斜杠\backslash,在windows系统中用来表示目录。
计算机操作系统不同
比如Windows本地路径用\
例如C:\windows\system32
网络一般用/
file:///D:/
有别人IP地址、账号密码、怎样进入服务器后台
还需要一个FTP的地址,
在IE地址栏里输入ftp:\\xxx.xxx.xxx.xxx
xxx...表示目标服务器的FTP地址,如220.113.22.65之类
注意反斜杠可能会打错
如果连接成功,会弹出输入用户名,密码的对话框.然后用你的账号登入就行了.
有些FTP服务端架设出来,不能直接这样进,需要第3方软件才能登入的,具体的请询问FTP服务器的管理者.