常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御

1.SQL注入
原理:
1).SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字元为不同命 令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式)
2).SQL命令对于传入的字符串参数是用单引号字元所包起来。(但连续2个单引 号字元,在SQL资料库中,则视为字串中的一个单引号字元)
3).SQL命令中,可以注入注解
预防:
1).在设计应用程序时,完全使用参数化查询(Parameterized Query)来设计数据 访问功能。
2).在组合SQL字符串时,先针对所传入的参数作字元取代(将单引号字元取代为 连续个单引号字元)。
3).如果使用PHP开发网页程序的话,亦可打开PHP的魔术引号(Magic quote)功 能(自动将所有的网页传入参数,将单引号字元取代为连续2个单引号字元)。
4).其他,使用其他更安全的方式连接SQL数据库。例如已修正过SQL注入问题的 数据库
5).连接组件,例如ASP.NET的SqlDataSource对象或是 LINQ to SQL。
使用SQL防注入系统。

2.XSS***
原理:
xss***可以分成两种类型:
1.非持久型xss***
非持久型xss***是一次性的,仅对当次的页面访问产生影响。非持久型xss*** 要求用户访问一个被***者篡改后的链接,用户访问该链接时,被植入的***脚本 被用户游览器执行,从而达到***目的。
2.持久型xss***
持久型xss***会把***者的数据存储在服务器端,***行为将伴随着***数据
一直存在。下面来看一个利用持久型xss***获取session id的实例。
防范:
1.基于特征的防御
XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS***。
传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS***,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS***。这种检测方法的缺陷显而易见:骇客可以通过插入字符或完全编码的方式躲避检测:
1). 在javascript中加入多个tab键,得到
<IMG SRC="jav ascript:alert(‘XSS‘);">;
2). 在javascript中加入(空格)字符,得到
<IMG SRC="javascri pt:alert(‘XSS‘);">;
3). 在javascript中加入(回车)字符,得到
<IMG SRC="javasc
ript:alert(‘XSS‘);">;
4). 在javascript中的每个字符间加入回车换行符,得到
<IMG SRC="javascrip\r\nt:alert(‘XSS‘);">
5). 对”javascript:alert(‘XSS’)”采用完全编码,得到
<IMGSRC=javascrip?74:alert(‘XSS‘)>
上述方法都可以很容易的躲避基于特征的检测。而除了会有大量的漏报外,基于特征的
还存在大量的误报可能:在上面的例子中,对上述某网站这样一个地址,由于包含了关键字“javascript”,也将会触发报警。
2.基于代码修改的防御
和SQL注入防御一样,XSS***也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免:
对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。
实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行。
确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTTP only的cookie。

3.CSRF***
原理:
CSRF***原理比较简单,假设Web A为存在CSRF漏洞的网站,Web B为攻 击者构建的恶意网站,User C为Web A网站的合法用户。

1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用 户登录网站A成功,可以正常发送请求到网站A;
3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
4.网站B接收到用户请求后,返回一些***性代码,并发出一个请求要求访 问第三方站点A;
5.浏览器在接收到这些***性代码后,根据网站B的请求,在用户不知情的 情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是 由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致 来自网站B的恶意代码被执行。
防范:
1.检查Referer字段
HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在 处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域 名下。以上文银行操作为例,Referer字段地址通常应该是转账按钮所在的 网页地址,应该也位于www.examplebank.com之下。而如果是CSRF***传 来的请求,Referer字段会是包含恶意网址的地址,不会位于 www.examplebank.com之下,这时候服务器就能识别出恶意的访问。
2.添加校验token
由于CSRF的本质在于***者欺骗用户去访问自己设置的地址,所以如果要求 在访问敏感数据请求时,要求用户浏览器提供不保存在cookie中,并且*** 者无法伪造的数据作为校验,那么***者就无法再执行CSRF***。这种数据 通常是表单中的一个数据项。服务器将其生成并附加在表单中,其内容是一个 伪乱数。当客户端通过表单提交请求时,这个伪乱数也一并提交上去以供校验。 正常的访问时,客户端浏览器能够正确得到并传回这个伪乱数,而通过CSRF 传来的欺骗性***中,***者无从事先得知这个伪乱数的值,服务器端就会因 为校验token的值为空或者错误,拒绝这个可疑请求。

原文地址:https://blog.51cto.com/14455834/2486218

时间: 2024-11-05 14:41:49

常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御的相关文章

XSS攻击&amp;SQL注入攻击&amp;CSRF攻击?

- XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式.跨站脚本攻击分有两种形式:反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛.微博发布含有恶意脚本的URL就属于这种方式)和持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台).XSS虽然不是什么新鲜玩意,但是攻击

Web常见安全漏洞-SQL注入

SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞. 可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作, 甚至有可能获取数据库乃至系统用户最高权限. 而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码, 程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变, 额外的执行了攻击者精心构造的恶意代码. SQL注入实例 很多Web开发者

浅谈Web安全-SQL注入

简单的说一下我对Web安全的了解,主要是代码注入方面. SQL注入 简介: SQL攻击(SQL injection),简称为注入攻击,是发生于应用程序数据库层的安全漏洞.简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵. 简单的说,所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.例如:如果用户在

[Web安全]SQL注入

Web网站最头痛的就是遭受攻击.Web很脆弱,所以基本的安防工作,我们必须要了解! 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. 通过一下的例子更形象的了解SQL注入: 有一个Login画面,在这个Login画面上有两个文本框分别用来输入用户名和密码,当用户点了登录按钮的时候,会对输入的用户名和密码进行验证.验证的SQL语句如下:       select * from student where userna

渗透攻防Web篇-SQL注入攻击初级

不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动.在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一,这里我想问,我们真的了解SQL注入吗?看完本篇文章希望能让你更加深刻的认识SQL注入. 注入攻击原理及自己编写注入点 1.1.什么是SQL?SQL 是一门 ANSI 的标准计算机语言,用来访问和操作数据库系统.SQL 语句用于取回和更新数据库中的数据.SQL 可与数据库程序协同工作,比如 MS Access.DB

Web实验 sql注入

? 数字型注入(POST): 数据库使用数字进行查询,尝试3 or 3来选择全部 字符型注入(GET): 通过字符进行查询,用kobe' or '1'='1尝试去掉查询字段两边的引号 发现可以注入 搜索型注入: ? 可能使用了like来确定查询范围 比如select 字段1,字段2 from 表名 where username like '%$name%' 我们用 k%'or 1=1#来进行尝试闭合 XX型注入: 通过后台可以发现使用了括号括住查询字段 我们对括号进行闭合 kobe') or 1

Web漏洞-SQL注入

原文地址:https://blog.51cto.com/10945453/2391352

XSS CSRF攻击原理及防御

xss:http://www.cnblogs.com/shytong/p/5308641.html xsrf:http://www.cnblogs.com/shytong/p/5308667.html

Web安全之SQL注入攻击技巧与防范

在Web1.0时代,人们更多是关注服务器端动态脚本语言的安全问题,比如将一个可执行脚本(俗称Webshell)通过脚本语言的漏洞上传到服务器上,从而获得服务器权限.在Web发展初期,随着动态脚本语言的发展和普及,以及早期工程师对安全问题认知不足导致很多”安全血案”的发生,至今仍然遗留下许多历史问题,比如PHP语言至今仍然无法从语言本身杜绝「文件包含漏洞」(参见这里),只能依靠工程师良好的代码规范和安全意识. 伴随着Web2.0.社交网络.微博等一系列新型互联网产品的兴起,基于Web环境的互联网应