您的位置:首页>>互联网

智汇华云:Web常见安全漏洞分享

发布时间:2019-03-25 09:55:36  来源:智客前沿    背景:
智汇华云:Web常见安全漏洞分享

  互联网时代数据信息瞬息万变,随之而来的是各种网络威胁、病毒入侵等各种危害网络安全的行为,网络安全越来越受到大家的关注。华云数据本期"智汇华云"专栏将解析Web常见安全漏洞,与大家共同探讨数字时代的安全问题。

  SQL注入

  1、什么是SQL注入?

  SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

  2、如何注入?

  例子: http://test.com/info?id=1

  此URL返回数据库某表的1条数据。程序中可能这么写的,ID为传入变量:

  select * from user where id='"+id+" ';

  如上,那么查询语句将是

  select * from user where id = '1'

  如果 id= 1' or '1'='1,那么查询语句将是

  select * from user where id = '1' or '1'='1'

  3、SQL注入原因

  ①对提交的数据未过滤

  ②拼装SQL语句

  ③不当的类型处理

  4、SQL注入防御

  (1)字符串长度验证

  仅接受指定长度范围内的变量值。sql注入脚本必然会大大增加输入变量的长度,通过长度限制,比如用户名长度为 8 到 20 个字符之间,超过就判定为无效值。

  (2)对单引号和双"-"、下划线、百分号等sql注释符号进行转义

  (3)不使用动态拼装SQL,使用参数化的SQL进行数据查询存取

  代码示例:

  String sql = "select id, no from user where id=?";

  PreparedStatement ps = conn.prepareStatement(sql);

  ps.setInt(1, id);

  ps.executeQuery();

  (4)框架防御: mybatis

  ① # 符号作用为 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。

  如:where user_id= #{id}

  如果传入的值是111,那么解析成sql时的值为 where id ="111"

  如果传入的值是 1'=or '1'='1' ,则解析成的sql为 whereid "1'=or '1'='1' "

  ②$ 符号则是将传入的数据直接生成在sql中。

  如:where user_id= '${id}'

  如果传入的值是111,那么解析成sql时的值为 where id ='111'

  如果传入的值是 1'=or '1'='1',则解析成的sql为 where _id ='1'or '1'=1'

  结论:# 符号能够防止SQL注入, $符号无法防止SQL注入,$ 符号一般用于传入数据库对象,例如传入表名

  XSS

  1、什么是XSS?

  往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的

  2、XSS分类

  (1)持久性的XSS(存储在服务器端,攻击行为将伴随着攻击数据一直存在)

  (2)非持久性的XSS(一次性的,仅对当次的页面访问产生影响)

  例子:将参数传递至页面输出

  参数写法: index?value=

  页面和JS写法:

  | $('#xss').html(value);

  3、XSS危害

  执行任意JS代码。最常见的做法是获取COOKIE认证信息;其他的就是跳转至恶意网址等,或者配合CSRF漏洞,进行创建form表单,进行提交,强制使当前用户操作,比如发帖,删帖,甚至转账等。

  4、 XSS防护

  (1)过滤用户输入的内容,常见的是过滤 '、"、;、< 、>

  (2)在用户提交数据时,对数据进行编码处理。

  (3)在输出页面时,对数据进行编码处理。

  CSRF

  1、什么是CSRF?

  伪造请求,冒充用户在站内的正常操作

  2、CSRF攻击原理

智汇华云:Web常见安全漏洞分享

  3、CSRF危害

  攻击者盗用了用户的身份,可以利用此身份进行发送邮件、发消息、购买商品、银行转账等等用户可执行的操作。

  4、CSRF如何防护

  (1)验证 HTTP Referer 字段

  此方法为基础防御,目前Referer是可被改写和伪造的,并非绝对安全。

  (2)HTTP添加自定义参数验证

  服务器生成token一份存放在session中,一份放在前端隐藏域中随请求头部提交。B不访问A网站前端拿不到token,请求无法通过验证,达到防御目的。

  URL跳转漏洞

  1、什么是URL跳转漏洞?

  程序中常会重定向页面,在登录系统中长会根据URL中的参数进行重定向,便于用户登录之后,调转到之前的页面。

  2、URL示例

  比如: http://www.aa.com/account/login?from=http://download.aa.com

  对于跳转页是否是当前站点的页面,或者是否是允许的页面地址没有做判断,当恶意攻击者将地址改为:

  http://www/aa.com/account/login?from=http://www.bb.com/

  那么用户登录后会跳转到www.bb.com,如果是恶意网址,那么用户就成为受害者。

  3、配合session在URL中传递的危害

  跳转到的页面中很容易从HTTP请求头中获取到url中session的值,对于session中验证信息不绑定用户客户端信息的情况,攻击者可直接使用,成为之前用户的身份。

  4、URL跳转漏洞防护

  (1)可以确定的URL:配置对应索引文件,通过索引找到对应具体url再进行跳转

  (2)无法确定的URL:增加规则校验,先通过验证后在进行跳转

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:智客前沿

百度【智能小程序开发者抗疫联盟】全面扩招,优秀开发者最高可获得奖励150万元!
疫情之下,人们衣食住行的各个方面均受到不同程度的影响。抗击疫情由此成为一场全面、长期的全民战...
日期:02-25
武汉嫂子,菜来了……本来生活@你
前两天,一位#武汉嫂子#教科书式怒怼的视频火了。
日期:02-25
vivo天猫超级品牌日重磅来袭,iQOO3抢先买!
2月25日,iQOO在年后首场发布会上正式推出了年度旗舰iQOO 3,并且将于3月2日全网正式开售。
日期:02-25
员工在家办公毁掉公司数据,微盟公司市值一天蒸发 9 亿港元
2月25日消息,港股上市公司微盟集团今日在港交所公告称,SAAS业务数据遭到一名员工“人为破坏&...
日期:02-25
家用投影仪怎么选?性价比颇高的当贝投影D1怎么样?
随着时代的发展,虽然电视也在不断地进步发展,完成了传统电视到智能电视的转变,但是电视一直存在的一...
日期:02-25
探营北京市朝阳区集中隔离点:24小时值守 机器人送餐
“您好,您的餐食在第一层,请取餐。”2月25日中午,位于北京市朝阳区的某集中医学隔离点...
日期:02-25
华为、苹果、OPPO、vivo 等全面响应苏宁24期免息
2月24日晚,苏宁易购召开线上发布会,宣布27日起,将联合家电、家装、3C等品类品牌,全场景推出&ldq...
日期:02-25
全友、顾家家居、喜临门等全面响应苏宁24期免息
2月24日,包括喜临门、雅兰床垫、全友、顾家家居、鹰牌陶瓷、多乐士、三棵树、万家乐、万和、箭牌、...
日期:02-25
智齿客服赋能5大行业,用AI筑起防疫长城
武汉封城,各地戒严,疫情让全国人民进入紧急状态,尤其是政府、医疗等处在防疫战场最前线的行业。智齿...
日期:02-25
“宅经济”、“无接触服务”兴起,苏宁智慧零售玩转消费新方式
受新冠肺炎疫情的影响,“宅”成为了当下全国居民生活最普遍的生活状态。“宅经济&r...
日期:02-25
华为云携手五所高校,启动鲲鹏计算HCIA在线课程
2月24日,全国首个鲲鹏计算HCIA在线孵化营在成都正式启动。本次孵化营由天府新区成都管委会、华为公...
日期:02-25
英超大咖聚首为中国加油,背后原来是PP体育的硬核操作
疫情阻碍了人们的正常出行,但无法削减足球带来的精彩和温情。近日,英超官方特意为中国球迷录制助威...
日期:02-25
远程办公时期,这些公司为什么都选择了飞书?
自从企业开启远程办公模式以来,这段时间,网上有关钉钉、飞书、企业微信的热议不断。不少网友发出...
日期:02-25
Skullcandy推出“热情粉“限量套装,带你遵循内心的声音
历时十一个月,每月一种配色、一位合作音乐人与运动员、一套限定耳机套装,Skullcandy的12 Moods企...
日期:02-25
苏宁推24期免息,苹果华为联想等3C大牌响应
2月24日晚,苏宁易购召开线上直播发布会,侯恩龙宣布自2月27日开始,苏宁将全面联合家电、家装、手...
日期:02-25
首批“无接触”餐厅落地 餐饮业试水送餐机器人自主配送
近日,全国各地陆续迎来返工潮,如何放心吃饭成了许多人关心的新话题。为了尽可能满足疫情期间消费...
日期:02-25
Tmall China Cool时装秀再现 天猫国潮来了传递中国品牌时尚态度
国潮崛起正在成为中国时尚的代名词,除了常驻时装周的华人设计师品牌数量逐年上升,越来越多的中国...
日期:02-25
华云数据安超云一体机为协和武汉红十字会医院提供云助力
新型冠状病毒肺炎疫情发生以来,全国上下齐心战疫,科技企业也积极投身疫情防控主战场,不仅持续为...
日期:02-25
苏宁与美的、华为、苹果等家电3C品牌“云签约”
“2月27日起,苏宁将全面联合家电、家装、电脑、手机等品类品牌,线上线下推出‘购家电家...
日期:02-25
极光:城市居民置业图鉴2020
极光(Aurora Mobile, NASDAQ:JG)发布《城市居民置业图鉴2020》,回顾2019年全国房市表现,洞悉城市...
日期:02-25
  专栏介绍
孙月 的专栏
孙月发表的文章
积分:
自我介绍 :