<style> .slides img{background-color:grey!important} .slides img[title^='"']{filter:invert(100%)} hr, .slides [title^='*']{display:none} summary h1{display:inline;border-bottom:0!important} </style> ###### [資安入門課程 教學/](/@NCHUIT/infosec) # 網頁安全 2023/11/20 muyue @圖書館 B1 蝶舞教室 ---- ## 第一部分：網頁安全基礎 ---- ### 1.1 什麼是網頁安全？ 簡介網頁安全的重要性 現代應用程式的安全挑戰 ---- ### 1.2 常見的網頁安全威脅 - SQL注入 - XSS攻擊 - CSRF攻擊 - 點擊劫持等 ---- ### 1.3 安全開發生命週期 - 安全開發的基本原則 - 安全測試的重要性  ---- ## 第二部分：SQL注入 ---- ### 2.1 什麼是SQL注入？ - SQL注入的定義 - SQL注入是一種網站安全漏洞，攻擊者通過在用戶輸入處插入惡意SQL代碼，繞過合法性檢查，對數據庫進行未授權訪問或執行損害性SQL操作 ---- - 如何發生SQL注入 - SQL注入發生的主要原因是應用程式未正確處理用戶輸入數據。當應用程式接收到用戶輸入而沒有適當驗證或過濾時，攻擊者可以通過在輸入中插入SQL代碼來操縱應用程式的SQL查詢 ---- https://play.picoctf.org/practice/challenge/80 https://play.picoctf.org/practice/challenge/59 https://play.picoctf.org/practice/challenge/8 ---- ### 2.2 SQL注入的類型 - 基於Union的SQL注入 ```sql SELECT name FROM users WHERE name='muyue' ``` ```sql SELECT name FROM users WHERE name='' UNION SELECT password FROM users WHERE name='admin' ``` ---- - 基於Boolean的SQL注入 - 基於時間的SQL注入 ---- ### 2.3 預防SQL注入 - 使用參數化查詢 - 驗證和過濾輸入數據 - 最佳實踐和建議 ---- ### 2.4 實例演示 - 示範一個簡單的SQL注入攻擊 - 分析攻擊原理 ---- ## 第三部分：XSS攻擊 ---- ### 3.1 什麼是XSS攻擊？ - XSS攻擊的定義 - 不同類型的XSS攻擊（存儲型、反射型、DOM-based） ---- ### 3.2 XSS攻擊的危害 - 盜取用戶信息 - 會話劫持 - 恶意脚本的植入 ---- ### 3.3 預防XSS攻擊 - 輸入驗證和過濾 - 使用Content Security Policy (CSP) - 對數據進行正確的轉譯 ---- ### 3.4 實例演示 - 示範一個簡單的XSS攻擊 - 分析攻擊原理 - https://xss-game.appspot.com/level1 - https://alf.nu/alert1?world=alert&level=alert0