程序员常用的3大Web安全漏洞防御解决方案:XSS、CSRF及SQL注入(图文详解)

https://blog.csdn.net/ChenRui_yz/article/details/86489067

随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。
01 常见的Web安全问题

1.前端安全

XSS 漏洞

CSRF 漏洞

2.后端安全

SQL 注入漏洞

程序员学架构mikechen优知
02 XSS漏洞

1.XSS简介

跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

2.XSS攻击的危害

盗取用户资料,比如:登录帐号、网银帐号等;
    利用用户身份,读取、篡改、添加、删除数据等;
    盗窃重要的具有商业价值的资料;
    非法转账;
    强制发送电子邮件;
    网站挂马;
    控制受害者机器向其它网站发起攻击。

3.防止XSS解决方案

XSS的根源主要是没完全过滤客户端提交的数据 ,所以重点是要过滤用户提交的信息。

将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了.
    只允许用户输入我们期望的数据。 例如:age用户年龄只允许用户输入数字,而数字之外的字符都过滤掉。
    对数据进行Html Encode 处理: 用户将数据提交上来的时候进行HTML编码,将相应的符号转换为实体名称再进行下一步的处理。
    过滤或移除特殊的Html标签, 例如:过滤js事件的标签。例如 “onclick=”, “onfocus” 等等。

03 CSRF攻击(跨站点请求伪造)

1.CSRF简介

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

XSS主要是利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求,来利用受信任的网站。与XSS攻击相比,CSRF更具危险性。

2.CSRF攻击的危害

主要的危害来自于,攻击者盗用用户身份,发送恶意请求。比如:模拟用户发送邮件,发消息,以及支付、转账等。

3.防止CSRF的解决方案

重要数据交互采用POST进行接收,当然是用POST也不是万能的,伪造一个form表单即可破解。

使用验证码,只要是涉及到数据交互就先进行验证码验证,这个方法可以完全解决CSRF。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。

验证HTTP Referer字段,该字段记录了此次HTTP请求的来源地址,最常见的应用是图片防盗链。

为每个表单添加令牌token并验证。
04 SQL注入漏洞

1.简介
程序员学架构mikechen优知

SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。

2.SQL注入的危害

数据库信息泄漏:数据库中存放的用户的隐私信息的泄露;

网页篡改:通过操作数据库对特定网页进行篡改;

数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改;

服务器被远程控制,被安装后门;

删除和修改数据库表信息.

3.SQL注入的方式

通常情况下,SQL注入的位置包括:

表单提交,主要是POST请求,也包括GET请求;

URL参数提交,主要为GET请求参数;

Cookie参数提交;

HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;

4.简单举例

举一个简单的例子,select * from user where id=100 ,表示查询id为100的用户信息,如果id=100变为 id=100 or 2=2,sql将变为:select * from user where id=100 or 2=2,将把所有user表的信息查询出来,这就是典型的sql注入。

5.防止SQL注入的解决方案

对用户的输入进行校验,使用正则表达式过滤传入的参数;

使用参数化语句,不要拼接sql,也可以使用安全的存储过程;

不要使用管理员权限的数据库连接,为每个应用使用权限有限的数据库连接;

检查数据存储类型;

重要的信息一定要加密。

总之就是既要做好过滤与编码并使用参数化语句,也要把重要的信息进行加密处理,这样SQL注入漏洞才能更好的解决。

觉得有用请点赞支持下,欢迎转载但须原文显示、明显注明出处!

mikechen优知的往期技术分享:

码了几年代码的程序员,有一定的开发经验,应该如何提升自己?
高并发架构系列:Kafka、RocketMQ、RabbitMQ的优劣势比较
高并发架构系列:如何从0到1设计一个MQ消息队列

欢迎留言或进我的Q裙179961551交流,本群专用于学习交流技术、分享面试机会,拒绝广告,我也会在群内不定期答题、探讨。
---------------------  
作者:mikechen优知  
来源:CSDN  
原文:https://blog.csdn.net/ChenRui_yz/article/details/86489067  
版权声明:本文为博主原创文章,转载请附上博文链接!

原文地址:https://www.cnblogs.com/fengff/p/10917372.html

时间: 2024-10-10 07:32:06

程序员常用的3大Web安全漏洞防御解决方案:XSS、CSRF及SQL注入(图文详解)的相关文章

Java程序员从笨鸟到菜鸟之(一百零一)sql注入攻击详解(二)sql注入过程详解

在上篇博客中我们分析了sql注入的原理,今天我们就来看一下sql注入的整体过程,也就是说如何进行sql注入,由于本人数据库和网络方面知识有限,此文章是对网上大量同类文章的分析与总结,其中有不少直接引用,参考文章太多,没有注意出处,请原作者见谅) SQL注入攻击的总体思路是: 1.发现SQL注入位置: 2.判断后台数据库类型: 3.确定XP_CMDSHELL可执行情况 4.发现WEB虚拟目录 5. 上传ASP木马: 6.得到管理员权限: 一.SQL注入漏洞的判断 一般来说,SQL注入一般存在于形如

Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解

前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误.其实sql注入漏洞就是一个.作为一个菜鸟小程序员,我对sql注入的东西了解的也不深入,所以抽出时间专门学习了一下.现在把学习成果分享给大家,希望可以帮助大家学习.下面我们就来看一下. 一.什么是sql注入呢?         所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的

Java程序员常用英语词汇

干程序员这行实在是离不开英语,干程序员是一项很辛苦的工作,要成为一个高水平的程序员尤为艰难.这是因为计算机软件技术更新的速度越来越快,而这些技术大多来源于英语国家,我们在引进这些技术时往往受到语言障碍的制约,严重影响到对新技术的理解和消化.首先编程本身就依赖于英语,虽然现在技术的发展,可以使得某些开发工具在变量名和字段名中支持中文,但还未发现能够完全使用中文的编程语句.     这并不代表我们英语差,就不能编程了,下面提供一点入门级的程序员常用英语,以此为开始,迈出我们学习英语的第一步,努力学习

分针网——每日分享:10个程序员常用的代码简写技术

更多文章:www.f-z.cn 今天小编我给大家整理了一份10个程序员常用的代码简写技术,看懂一种是入门,全懂就是大神,你能知道几个呢? 1.三元操作符 当想写if...else语句时,使用三元操作符来代替. const x = 20;let answer;if (x > 10) { 简写: const answer = x > 10 ? 'is greater' : 'is lesser'; 也可以嵌套if语句: const big = x > 10 ? " greater

Java程序员常用工具类库

有人说当你开始学习Java的时候,你就走上了一条不归路,在Java世界里,包罗万象,从J2SE,J2ME,J2EE三大平台,到J2EE中的13中核心技术,再到Java世界中万紫千红的Framework......等等,你会发现自己总是在学习,但总是有自己不知道的东西. 当你看到代码工程的lib下各种各样的jar文件的时候,你是否能全部知道他们都是干什么用的,为什么要导入到工程下吗? 从Google你能搜索到大量的关于Struts,Spring,Hibernate,iBatis等比较大的框架的资料

【同行说技术】iOS程序员从小白到大神必读资料汇总

在文章<iOS程序员从小白到大神必读资料汇总(一)>里面介绍了很多iOS入门学习的资料,今天小编就发几篇技术进阶的文章,快来看看吧! 一.iOS后台模式开发指南 这个教程会教你在什么时候怎么去用最常用的一些后台操作 二.iOS核心高级动画技巧 这是一篇在github上很受欢迎的对iOS开发高级动画技巧的翻译文,非常值得学习 三.iOS开发总结之代码规范 这篇文章整理了比较好的代码规范,对程序员的代码风格的塑造很有帮助! 四.Top 100 的 iOS app 都用到了哪些库 文章作者分析了美国

程序员常用网站

程序员常用网站 名称:w3schools 地址:http://www.w3schools.com/ 描述:这个网站大家再熟悉不过了,W3Schools是于1999年创立的一个网站开发教程门户.W3Schools由位于挪威提供软件开发.咨询的Refsnes Data公司所成立,提供的免费网页开发教程包括HTML.XML.CSS.JavaScript.PHP.ASP等等. 名称:StackOverflow  地址:www.stackoverflow.com 描述:这个就不需要我来做更多的介绍,相信每

如何让程序员更容易的开发Web界面?重构SmartAdmin展示TinyUI

如何让程序员更容易的开发Web界面,是一个持久的话题,所有的从事相关开发的公司都会碰到这个问题,并且被这个问题所深深困扰. Tiny框架也不得不直视这个问题,确实来说,想解决这个问题,也是非常有难度与深度的,业界也有各种各样的尝试,这也是有各种各样不同框架出现的原因. Tiny框架构建者认为,完全采用一种框架解决所有问题,是不现实的.而且即使目前找得到一种非常好的框架,暂时可以满足应用需要,但是随着技术的发展,业务的进化,就会慢慢变得不再满足业务需要.因此,Tiny框架构建从不再把做一套UI组件

600个程序员常用的单词和词汇

来自:网络 一小时轻松掌握程序员单词 1小时搞定程序员单词 集结了600个程序员常用的单词和词汇,让你写代码变量命名 so easy!!! 还等什么!GOGOGO! application 应用程式 应用.应用程序 application framework 应用程式框架.应用框架 应用程序框架 architecture 架构.系统架构 体系结构 argument 引数(传给函式的值).参见 parameter 参数.实质参数.实参.自变量 array 阵列 数组 arrow operator