三种常见的Web安全问题

XSS漏洞

1.XSS简介

跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

2.XSS攻击的危害

1、盗取用户资料,比如:登录帐号、网银帐号等

2、利用用户身份,读取、篡改、添加、删除企业敏感数据等

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

3.防止XSS解决方案

XSS的根源主要是没完全过滤客户端提交的数据 ,所以重点是要过滤用户提交的信息。

  • 将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了.
  • 只允许用户输入我们期望的数据。 例如:age用户年龄只允许用户输入数字,而数字之外的字符都过滤掉。
  • 对数据进行Html Encode 处理: 用户将数据提交上来的时候进行HTML编码,将相应的符号转换为实体名称再进行下一步的处理。
  • 过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, &quot for
  • 过滤js事件的标签。例如 "onclick=", "onfocus" 等等。

CSRF攻击(跨站点请求伪造)

1.CSRF简介

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF更具危险性。

2.CSRF攻击的危害

主要的危害来自于,攻击者盗用了用户身份,发送恶意请求。比如:模拟用户的行为发送邮件,发消息,以及支付、转账等财产安全。

3.防止CSRF的解决方案

  • 重要数据交互采用POST进行接收,当然是用POST也不是万能的,伪造一个form表单即可破解。
  • 使用验证码,只要是涉及到数据交互就先进行验证码验证,这个方法可以完全解决CSRF。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。
  • 验证HTTP Referer字段,该字段记录了此次HTTP请求的来源地址,最常见的应用是图片防盗链。
  • 为每个表单添加令牌token并验证

SQL注入

1.简介

SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。

2.SQL注入的危害

  • 数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。
  • 网页篡改:通过操作数据库对特定网页进行篡改。
  • 数据库被恶意操作:数据库服务器被攻击
  • 服务器被远程控制,被安装后门
  • 删除和修改数据库信息

3.防止SQL注入的方式

通常情况下,SQL注入的位置包括:

(1)表单提交,主要是POST请求,也包括GET请求;

(2)URL参数提交,主要为GET请求参数;

(3)Cookie参数提交;

(4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;

4.简要举例

举一个简单的例子,select * from user where id=100 ,表示查询id为100的用户信息,如果id=100变为 id=100 or 2=2,sql将变为:select * from user where id=100 or 2=2,将把所有user表的信息查询出来,这就是典型的sql注入。

5.防止SQL注入的解决方案

1)对用户的输入进行校验,使用正则表达式过滤传入的参数

2)使用参数化语句,不要拼接sql,也可以使用安全的存储过程

3)不要使用管理员权限的数据库连接,为每个应用使用权限有限的数据库连接

4)检查数据存储类型

5)重要的信息一定要加密

总之就是既要做好过滤与编码并使用参数化语句,也要把重要的信息进行加密处理,这样sql注入漏洞才能更好的解决。

原文地址:https://www.cnblogs.com/Sky-Raining/p/10270643.html

时间: 2024-10-13 01:24:26

三种常见的Web安全问题的相关文章

深入学习jQuery的三种常见动画效果

× 目录 [1]显隐效果 [2]高度变化 [3]淡入淡出 前面的话 动画效果是jQuery吸引人的地方.通过jQuery的动画方法,能够轻松地为网页添加视觉效果,给用户一种全新的体验.jQuery动画是一个大的系列,本文将详细介绍jQuery的三种常见动画效果——显隐效果.高度变化及淡入淡出 显隐 在CSS中,总结过实现元素显隐的9种思路.而jQuery中的show()和hide()方法是通过改变display属性来实现元素显隐效果,它们是jQuery中最基本的动画方法 [hide()] hid

ASP.NET后台调用前台JS函数的三种常见方法

第一种:使用普通的添加控件中的Attributes属性进行调用 例如,像一般的普通的按钮:Button1.Attributes.Add("onclick","MyFun();"); 此方法只能在Onload中或者类似于onload的初始化过程中添加才有效.并且是先执行脚本函数,同时无法改变执行顺序. 第二种:使用Response.Write方法进行调用 例如,像我们经常会使用到的Response.Write("<scripttype='text/ja

Android应用开发中三种常见的图片压缩方法

Android应用开发中三种常见的图片压缩方法,分别是:质量压缩法.比例压缩法(根据路径获取图片并压缩)和比例压缩法(根据Bitmap图片压缩). 一.质量压缩法 private Bitmap compressImage(Bitmap image) { ByteArrayOutputStream baos = new ByteArrayOutputStream(); image.compress(Bitmap.CompressFormat.JPEG, 100, baos);//质量压缩方法,这里

入网认证三种常见方式介绍

入网认证是一个用户接入一个网络后第一个接触的功能,尤其是在无线网络下,现在几乎找不到无需认证即可接入的网络了. 常见的入网认证技术主要有三种:802.1X.MAB.WebAuth,本文将简单介绍这几种技术的实现原理及应用场景. 802.1X 802.1x协议是基于Client/Server的访问控制和认证协议.它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN.在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证.在认

B/S开发框架Web安全问题及防范规范之挂马和WebShell

Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,本篇文章来告诉大家怎么防范挂马和WebShell攻击. 适用范围 Web网站 攻击原理 Webshell是攻击者在被攻击网站上植入的aspx.php.jsp程序文件,攻击者在入侵了一个web系统后,常常在将这些aspx.php.jsp木马后门文件放置在web服务器的web目录中,与正常的网站文件混

WEB安全问题

Web系统必须采取措施降低Web应用安全风险. 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP. 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的"允许连续失败的次数"可配置,支持在锁定时间超时后自动解锁. 2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法.用户是否被授权执行这个操作,以防止URL越权. 说明:防止用户通过直接输入URL,进行URL越权,请求并执行一些页面

Java WEB安全问题及解决方案

1.弱口令漏洞 解决方案: 最好使用至少6位的数字.字母及特殊字符组合作为密码.数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密. 2.未使用用户名及密码登录后台可直接输入后台URL登录系统. 解决方案: 通过配置filter来过滤掉无效用户的连接请求. 3.JSP页面抛出的异常可能暴露程序信息.有经验的入侵者,可以从JSP程序的异常中获取很多信息,比如程序的部分架构.程序的物理路径.SQL注入爆出来的信息等. 解决方案: 自定义一

web 安全问题(二):XSS攻击

上文说完了CSRF攻击,本文继续研究它的兄弟XSS攻击. 什么是XSS攻击 XSS攻击的原理 XSS攻击的方法 XSS攻击防御的手段 什么是XSS攻击 XSS攻击全名(Cross-Site-Script)跨域脚本攻击,为了跟CSS(Cascading-Style-Sheet)区分开来,所以缩写是XSS. XSS攻击的原理 上一节说道的CSRF攻击是利用的是"伪请求",这一节的XSS的原理是利用脚本注入的方式. 主要是依靠一切可能的手段,将浏览器中可以执行的脚本(javascript)植

DDOS攻击的三种常见方式

SYN/ACK Flood 攻击: 这种攻击方法是经典最有效的 DDOS 攻击方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源 IP 和源端口的 SYN 或 ACK 包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持.少量的这种攻击会导致主机服务器无法访问,但却可以 Ping 的通,在服务器上用Netstat -na 命令会观察到存在大量的 SYN_RECEIVED 状态,大量的这种