您的位置:首页>>互联网

智汇华云:Web常见安全漏洞分享

发布时间:2019-03-25 09:55:36  来源:智客前沿    采编:孙月  背景:
智汇华云:Web常见安全漏洞分享

  互联网时代数据信息瞬息万变,随之而来的是各种网络威胁、病毒入侵等各种危害网络安全的行为,网络安全越来越受到大家的关注。华云数据本期"智汇华云"专栏将解析Web常见安全漏洞,与大家共同探讨数字时代的安全问题。

  SQL注入

  1、什么是SQL注入?

  SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

  2、如何注入?

  例子: http://test.com/info?id=1

  此URL返回数据库某表的1条数据。程序中可能这么写的,ID为传入变量:

  select * from user where id='"+id+" ';

  如上,那么查询语句将是

  select * from user where id = '1'

  如果 id= 1' or '1'='1,那么查询语句将是

  select * from user where id = '1' or '1'='1'

  3、SQL注入原因

  ①对提交的数据未过滤

  ②拼装SQL语句

  ③不当的类型处理

  4、SQL注入防御

  (1)字符串长度验证

  仅接受指定长度范围内的变量值。sql注入脚本必然会大大增加输入变量的长度,通过长度限制,比如用户名长度为 8 到 20 个字符之间,超过就判定为无效值。

  (2)对单引号和双"-"、下划线、百分号等sql注释符号进行转义

  (3)不使用动态拼装SQL,使用参数化的SQL进行数据查询存取

  代码示例:

  String sql = "select id, no from user where id=?";

  PreparedStatement ps = conn.prepareStatement(sql);

  ps.setInt(1, id);

  ps.executeQuery();

  (4)框架防御: mybatis

  ① # 符号作用为 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。

  如:where user_id= #{id}

  如果传入的值是111,那么解析成sql时的值为 where id ="111"

  如果传入的值是 1'=or '1'='1' ,则解析成的sql为 whereid "1'=or '1'='1' "

  ②$ 符号则是将传入的数据直接生成在sql中。

  如:where user_id= '${id}'

  如果传入的值是111,那么解析成sql时的值为 where id ='111'

  如果传入的值是 1'=or '1'='1',则解析成的sql为 where _id ='1'or '1'=1'

  结论:# 符号能够防止SQL注入, $符号无法防止SQL注入,$ 符号一般用于传入数据库对象,例如传入表名

  XSS

  1、什么是XSS?

  往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的

  2、XSS分类

  (1)持久性的XSS(存储在服务器端,攻击行为将伴随着攻击数据一直存在)

  (2)非持久性的XSS(一次性的,仅对当次的页面访问产生影响)

  例子:将参数传递至页面输出

  参数写法: index?value=

  页面和JS写法:

  | $('#xss').html(value);

  3、XSS危害

  执行任意JS代码。最常见的做法是获取COOKIE认证信息;其他的就是跳转至恶意网址等,或者配合CSRF漏洞,进行创建form表单,进行提交,强制使当前用户操作,比如发帖,删帖,甚至转账等。

  4、 XSS防护

  (1)过滤用户输入的内容,常见的是过滤 '、"、;、< 、>

  (2)在用户提交数据时,对数据进行编码处理。

  (3)在输出页面时,对数据进行编码处理。

  CSRF

  1、什么是CSRF?

  伪造请求,冒充用户在站内的正常操作

  2、CSRF攻击原理

智汇华云:Web常见安全漏洞分享

  3、CSRF危害

  攻击者盗用了用户的身份,可以利用此身份进行发送邮件、发消息、购买商品、银行转账等等用户可执行的操作。

  4、CSRF如何防护

  (1)验证 HTTP Referer 字段

  此方法为基础防御,目前Referer是可被改写和伪造的,并非绝对安全。

  (2)HTTP添加自定义参数验证

  服务器生成token一份存放在session中,一份放在前端隐藏域中随请求头部提交。B不访问A网站前端拿不到token,请求无法通过验证,达到防御目的。

  URL跳转漏洞

  1、什么是URL跳转漏洞?

  程序中常会重定向页面,在登录系统中长会根据URL中的参数进行重定向,便于用户登录之后,调转到之前的页面。

  2、URL示例

  比如: http://www.aa.com/account/login?from=http://download.aa.com

  对于跳转页是否是当前站点的页面,或者是否是允许的页面地址没有做判断,当恶意攻击者将地址改为:

  http://www/aa.com/account/login?from=http://www.bb.com/

  那么用户登录后会跳转到www.bb.com,如果是恶意网址,那么用户就成为受害者。

  3、配合session在URL中传递的危害

  跳转到的页面中很容易从HTTP请求头中获取到url中session的值,对于session中验证信息不绑定用户客户端信息的情况,攻击者可直接使用,成为之前用户的身份。

  4、URL跳转漏洞防护

  (1)可以确定的URL:配置对应索引文件,通过索引找到对应具体url再进行跳转

  (2)无法确定的URL:增加规则校验,先通过验证后在进行跳转




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:智客前沿

2019世界地球日 来看看互联网公司都做了什么?
  1970年的4月22日,美国各地超2000万人组织了声势浩天的游和集会,呼吁人们对环境的保护和对地球资源...
日期:04-23
“围鲲救鳗”成时下最火热词,百度贴吧讨论量直奔千万
最近几天,又有一个热词火遍了全网络,百度贴吧讨论量更是直奔千万,那就是从百度贴吧诞生的“...
日期:04-22
东方明珠九号卡丁体验中心盛大开业 探索全新服务模式
4月21日,位于上海东方明珠塔的九号卡丁体验中心正式投入运营。开业当天,现场活动高潮迭起、惊喜不断...
日期:04-22
《向往的生活》第三季剧透:除了黄磊、何炅、彭昱畅 还有新人“小度”?
终于,《向往的生活第三季》要在4月8日正式回归了,跟去年形式一样,明星们远离城市的喧嚣,一起拙...
日期:04-21
传百度赞助《向往的生活》 引发网友三大猜想
4月21日,在湖南卫视《向往的生活》第三季媒体看片会后,有网友爆出,百度是本季《向往的生活》赞助...
日期:04-21
再次爆发!FGS伦敦赛17头名出线
自4月16日以来,绝地求生全球巅峰联赛Faceit Global Summit)在伦敦正式开赛。在经过了三日的循环赛...
日期:04-20
语言智能的发展近期又有哪些突破?来听百度王海峰的最新演讲
“理解和运用自然语言是人工智能的核心问题之一。大数据、机器学习、深度学习和知识图谱等技术...
日期:04-20
AI DAY惊现“异形”?原来是百度大脑的AR能力在“作怪”
4月19日,高通在深圳举办了一年一度的“Qualcomm人工智能开放日”(又称AI DAY)。其中,一...
日期:04-20
英特尔“退群”背后的5G之战
美国当地时间4月16日,此前一直“忙于法院见”的苹果与高通在圣地亚哥联邦法院达成和解协...
日期:04-20
思岚科技发布新品雷达RPLIDAR S1,测距可达40米
2019年4月17日,专注于机器人自主定位导航领域的思岚科技,对外发布其最新一代激光雷达产品RPLIDAR ...
日期:04-19
三星Galaxy A70首销火爆,斩获苏宁手机销量王
4月18日,三星Galaxy A70新品首销当天,苏宁易购举办三星超级新品日,为消费者带来更多的福利。4月1...
日期:04-19
为什么大家都喜欢跟小度“唠嗑”?百度地图AI加持长语音识别更准确
在经历了五一假期“升级”后,凑够四天的小惊喜勾起了许多人外出游玩的心。那么如何在旅...
日期:04-19
WPS上架Mac苹果商店首日便登顶,一场源自用户的胜利!
北京时间4月19日凌晨,WPS Office for Mac版正式登陆苹果Mac App Store应用商店一天后,直接跃升至...
日期:04-19
智能音箱三巨头差距缩小 百度出货量环比增速第一
Canalys日前发布报告称,全球智能音箱的出货量有望于2019年达到2亿。中国智能音箱出货量有望于2019...
日期:04-19
禧云国际联合团餐谋发布《中国团餐行业信息化发展报告》
4月14日,在杭州举办的2019中国国际团餐产业大会上,禧云国际联合团餐谋发布了《中国团餐行业信息化...
日期:04-19
复联4唤醒宝爸英雄情结 漫威系列玩具同比增长826%
苏宁418大促热度一直居高不下。苏宁大数据显示,母婴家庭趁机囤货,奶粉尿裤销量再创新高。复仇者联...
日期:04-19
一夜之间5G芯片格局大变:天下五分 中国已有其三!
2019年4月17日,科技界发生了三件与5G手机基带芯片相关大事:1、高通与苹果之间的专利授权纠纷终于...
日期:04-19
让AI无所不及,华为云EI使能行业智能化转型
日前,华为第十六届全球分析师大会在中国深圳召开。在“让Cloud无处不在,让AI无所不及”...
日期:04-18
奔驰漏油和996哪个事儿更大?巴黎圣母院:都不大…
  最近几天,热搜上的“瓜”可谓是一个接一个,热点目不暇接,究竟谁拯救了谁,成为吃瓜群众们津津乐道的话题。
日期:04-17