文档章节

详解程序员常用的3大Web安全漏洞防御解决方案:XSS、CSRF及SQL注入

mikechen优知
 mikechen优知
发布于 01/15 11:14
字数 1553
阅读 13
收藏 1

随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。

 

一  常见的Web安全问题


1.前端安全

XSS 漏洞

CSRF 漏洞

 

2.后端安全

SQL 注入漏洞

 

二  XSS漏洞


1.XSS简介

跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

 

2.XSS攻击的危害

  • 盗取用户资料,比如:登录帐号、网银帐号等;
  • 利用用户身份,读取、篡改、添加、删除数据等;
  • 盗窃重要的具有商业价值的资料;
  • 非法转账;
  • 强制发送电子邮件;
  • 网站挂马;
  • 控制受害者机器向其它网站发起攻击。


3.防止XSS解决方案

  • XSS的根源主要是没完全过滤客户端提交的数据 ,所以重点是要过滤用户提交的信息。
  • 将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了.
  • 只允许用户输入我们期望的数据。 例如:age用户年龄只允许用户输入数字,而数字之外的字符都过滤掉。
  • 对数据进行Html Encode 处理: 用户将数据提交上来的时候进行HTML编码,将相应的符号转换为实体名称再进行下一步的处理。
  • 过滤或移除特殊的Html标签, 例如:过滤js事件的标签。例如 “onclick=”, “onfocus” 等等。

 


三 CSRF攻击(跨站点请求伪造)


1.CSRF简介

  • CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
  • XSS主要是利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求,来利用受信任的网站。与XSS攻击相比,CSRF更具危险性。

 

2.CSRF攻击的危害

主要的危害来自于,攻击者盗用用户身份,发送恶意请求。比如:模拟用户发送邮件,发消息,以及支付、转账等。

 

3.防止CSRF的解决方案

  • 重要数据交互采用POST进行接收,当然是用POST也不是万能的,伪造一个form表单即可破解。
  • 使用验证码,只要是涉及到数据交互就先进行验证码验证,这个方法可以完全解决CSRF。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。
  • 验证HTTP Referer字段,该字段记录了此次HTTP请求的来源地址,最常见的应用是图片防盗链。
  • 为每个表单添加令牌token并验证。

 

四  SQL注入漏洞


1.简介
SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。

 

2.SQL注入的危害

  • 数据库信息泄漏:数据库中存放的用户的隐私信息的泄露;
  • 网页篡改:通过操作数据库对特定网页进行篡改;
  • 数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改;
  • 服务器被远程控制,被安装后门;
  • 删除和修改数据库表信息。

 

3.SQL注入的方式

  • 通常情况下,SQL注入的位置包括:
  • 表单提交,主要是POST请求,也包括GET请求;
  • URL参数提交,主要为GET请求参数;
  • Cookie参数提交;
  • HTTP请求头部的一些可修改的值,比如Referer、User_Agent等。

举一个简单的例子,select * from user where id=100 ,表示查询id为100的用户信息,如果id=100变为 id=100 or 2=2,sql将变为:select * from user where id=100 or 2=2,将把所有user表的信息查询出来,这就是典型的sql注入。

 

4.防止SQL注入的解决方案

  • 对用户的输入进行校验,使用正则表达式过滤传入的参数;
  • 使用参数化语句,不要拼接sql,也可以使用安全的存储过程;
  • 不要使用管理员权限的数据库连接,为每个应用使用权限有限的数据库连接;
  • 检查数据存储类型;
  • 重要的信息一定要加密。

 

总之就是既要做好过滤与编码并使用参数化语句,也要把重要的信息进行加密处理,这样SQL注入漏洞才能更好的解决。

 

更多高并发架构系列连载,内容包括:java高并发、SOA、分布式集群、多线程、Redis、数据库分库分表、负载均衡等。觉得不错请点赞支持,欢迎留言或进我的个人群179961551领取【架构资料专题目合集90期】、【BATJTMD大厂JAVA面试真题1000+】,本群专用于学习交流技术、分享面试机会,拒绝广告,我也会在群内不定期答题、探讨。

 

欢迎转载,但务必原文显示、文章头区注明出处及原文链接!

 

 

 

 


 

© 著作权归作者所有

共有 人打赏支持
mikechen优知
粉丝 83
博文 32
码字总数 52957
作品 0
徐汇
架构师
私信 提问
详解程序员常用的3大Web安全漏洞防御解决方案:XSS、CSRF及SQL注入

随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。 一 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后...

mikechen优知
01/15
0
0
CSRF/XSRF 跨站请求伪造

CSRF(Cross Site Request Forgery, 跨站域请求伪造)也称 XSRF, 是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击...

给你添麻烦了
2018/01/13
0
0
简析Web应用6种主要漏洞及解决方案

编者按:本文转载自李松峰老师的博客 Web应用基于C/S(Client/Server)服务模型搭建:客户端发送请求,服务端负责响应。一般客户端就是浏览器,但可以向服务器发送请求的软件则远远不限于浏览...

奇舞周刊
2018/09/26
0
0
Web-安全-学习资料(很全)​

看原文 看原文 看原文 Web-安全-学习资料(很全) Web-Security-Learning 在学习web安全的过程中整合的一些资料。 该repo会不断更新,最近更新日期为:2017/9/19。 9月19日更新: 新收录文章...

Ho0oH
2017/09/26
0
0
AJAX请求真的不安全么?谈谈Web安全与AJAX的关系。

开篇三问 AJAX请求真的不安全么? AJAX请求哪里不安全? 怎么样让AJAX请求更安全? 前言 本文包含的内容较多,包括AJAX,CORS,XSS,CSRF等内容,要完整的看完并理解需要付出一定的时间。 另...

撒网要见鱼
2018/01/04
0
0

没有更多内容

加载失败,请刷新页面

加载更多

社区投稿 | DBLE rule.xml 配置解析

文章来源:爱可生云数据库 作者:余朝飞 DBLE项目介绍 DBLE官方网站:https://opensource.actionsky.com 可以详细了解DBLE的背景和应用场景,本文不涉及到的细节都可在官方文档获得更细节都信...

爱可生
21分钟前
1
0
程序员除了转行做管理,还可以做什么?

软件工程师有无数的职业道路,比如我遇到的几位工程师,他们经历了多年的编码生活,最后他们转向了开发倡导者。我想如果大家知道开发者布道师是什么,会有更多人会这样做。 开发者布道师一般...

架构师springboot
23分钟前
3
0
git am 部分发生冲突的处理

1.背景 一般而言,为了保留git log的记录,我们在做patch的时候会使用git format patch的命令来生成一个patch,在应用patch的时候会选择git am来打上patch.一般的patch会包含N个文件的补丁,假设...

天王盖地虎626
25分钟前
1
0
vue插槽slot

1.匿名插槽 它允许你像这样合成组件: <navigation-link url="/profile"> Your Profile</navigation-link> 然后你在 <navigation-link> 的模板中可能会写为: <a v-bind:href="url"......

danielnasri
33分钟前
1
0
Spring Boot MyBatis配置多种数据库

mybatis-config.xml是支持配置多种数据库的,本文将介绍在Spring Boot中使用配置类来配置。 1. 配置application.yml # mybatis配置mybatis: check-config-location: false type-aliases...

五毛程序员
33分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部