• 十堰神定河水质净化工程6月底试运营 2019-10-19
  • 中欧智库联手,推进中亚一带一路合作 2019-10-19
  • 【理上网来·喜迎十九大】不忘初心、继续前进,勇于全面深化改革 2019-10-18
  • 非媒:铁路,肯尼亚梦与中国梦交汇 2019-10-18
  • 美媒:美军资助研发的高科技 却被中国先用上了 2019-10-18
  • 从献血条件,看看你的身体是否达标 2019-10-06
  • 图解:小心爆炸!夏天不宜放车内的物品“黑名单” 2019-10-01
  • 日研究用iPS细胞再现小脑疾病成因 2019-10-01
  • 从凤凰网年会看2017 CEO刘爽:暮雪朝霜,毋改英雄意气 2019-09-27
  • 国务院关税税则委员会关于对原产于美国500亿美元进口商品加征关税的公告 2019-09-27
  • 中国工程院院士倪光南谈“发展核心技术 建设网络强国” 2019-09-24
  • 抓住“金钥匙” 坚定走实走对走好辽宁振兴发展之路 2019-09-20
  • 威海出台劳模评选管理新规 2019-09-20
  • 壮阔东方潮 奋进新时代——庆祝改革开放40年——山西黄河新闻网 2019-09-18
  • 新东方国际游学教育高峰论坛:游学行业的过去与未来 2019-09-17
  • 网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

    “游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512
    ?

    4949 us天下彩免费资料:3大Web安全漏洞防御详解:XSS、CSRF、以及SQL注入解决方案

    2019-02-28 21:58 推荐: 浏览: 346 views 字号:

    2018历史开码结果查询 www.amkxg.tw 摘要: 随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。 01?常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 02?XSS...

    随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。

    01?常见的Web安全问题

    1.前端安全

    • XSS 漏洞
    • CSRF 漏洞

    2.后端安全

      • SQL 注入漏洞

    02?XSS漏洞

    1.XSS简介

    跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。

    XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

    2.XSS攻击的危害

    1)盗取用户资料,比如:登录帐号、网银帐号等

    2)利用用户身份,读取、篡改、添加、删除数据等

    3)盗窃重要的具有商业价值的资料

    4)非法转账

    5)强制发送电子邮件

    6)网站挂马

    7)控制受害者机器向其它网站发起攻击

    3.防止XSS解决方案

    XSS的根源主要是没完全过滤客户端提交的数据 ,所以重点是要过滤用户提交的信息。

    1)将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了.

    2)只允许用户输入我们期望的数据。 例如:age用户年龄只允许用户输入数字,而数字之外的字符都过滤掉。

    3)对数据进行Html Encode 处理: 用户将数据提交上来的时候进行HTML编码,将相应的符号转换为实体名称再进行下一步的处理。

    4)过滤或移除特殊的Html标签, 例如:

    5)过滤js事件的标签。例如 “onclick=”, “onfocus” 等等。

    03?CSRF攻击(跨站点请求伪造)

    1.CSRF简介

    CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

    XSS主要是利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求,来利用受信任的网站。与XSS攻击相比,CSRF更具危险性。

    2.CSRF攻击的危害

    主要的危害来自于,攻击者盗用用户身份,发送恶意请求。比如:模拟用户发送邮件,发消息,以及支付、转账等。

    3.防止CSRF的解决方案

    1)重要数据交互采用POST进行接收,当然是用POST也不是万能的,伪造一个form表单即可破解。

    2)使用验证码,只要是涉及到数据交互就先进行验证码验证,这个方法可以完全解决CSRF。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。

    3)验证HTTP Referer字段,该字段记录了此次HTTP请求的来源地址,最常见的应用是图片防盗链。

    4)为每个表单添加令牌token并验证。

    04?SQL注入漏洞

    1.简介

    SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。

    2.SQL注入的危害

    • 数据库信息泄漏:数据库中存放的用户的隐私信息的泄露
    • 网页篡改:通过操作数据库对特定网页进行篡改
    • 数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改
    • 服务器被远程控制,被安装后门
    • 删除和修改数据库表信息

    3.SQL注入的方式

    通常情况下,SQL注入的位置包括:

    (1)表单提交,主要是POST请求,也包括GET请求;

    (2)URL参数提交,主要为GET请求参数;

    (3)Cookie参数提交;

    (4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;

    4.简单举例

    举一个简单的例子,select * from user where id=100 ,表示查询id为100的用户信息,如果id=100变为 id=100 or 2=2,sql将变为:select * from user where id=100 or 2=2,将把所有user表的信息查询出来,这就是典型的sql注入。

    5.防止SQL注入的解决方案

    1)对用户的输入进行校验,使用正则表达式过滤传入的参数

    2)使用参数化语句,不要拼接sql,也可以使用安全的存储过程

    3)不要使用管理员权限的数据库连接,为每个应用使用权限有限的数据库连接

    4)检查数据存储类型

    5)重要的信息一定要加密

    总之就是既要做好过滤与编码并使用参数化语句,也要把重要的信息进行加密处理,这样SQL注入漏洞才能更好的解决。

    作者:技术进阶来源:优知学院

    联系站长租广告位!
    ?
    中国首席信息安全官


    关闭


    2018历史开码结果查询
    关闭
  • 十堰神定河水质净化工程6月底试运营 2019-10-19
  • 中欧智库联手,推进中亚一带一路合作 2019-10-19
  • 【理上网来·喜迎十九大】不忘初心、继续前进,勇于全面深化改革 2019-10-18
  • 非媒:铁路,肯尼亚梦与中国梦交汇 2019-10-18
  • 美媒:美军资助研发的高科技 却被中国先用上了 2019-10-18
  • 从献血条件,看看你的身体是否达标 2019-10-06
  • 图解:小心爆炸!夏天不宜放车内的物品“黑名单” 2019-10-01
  • 日研究用iPS细胞再现小脑疾病成因 2019-10-01
  • 从凤凰网年会看2017 CEO刘爽:暮雪朝霜,毋改英雄意气 2019-09-27
  • 国务院关税税则委员会关于对原产于美国500亿美元进口商品加征关税的公告 2019-09-27
  • 中国工程院院士倪光南谈“发展核心技术 建设网络强国” 2019-09-24
  • 抓住“金钥匙” 坚定走实走对走好辽宁振兴发展之路 2019-09-20
  • 威海出台劳模评选管理新规 2019-09-20
  • 壮阔东方潮 奋进新时代——庆祝改革开放40年——山西黄河新闻网 2019-09-18
  • 新东方国际游学教育高峰论坛:游学行业的过去与未来 2019-09-17
  • 赌博电子游戏的窍门 ag揭秘 天涯论坛 时时彩自动 稳赚 大富贵看牌抢庄牛牛 宝贝计划app官网 体彩31选7胆拖计算 广东福彩微信电子投注 万人炸金花手机旧版 重庆时时彩计划_人工版 手机重庆时时单双计划