江苏龙网

  1. 主页 > 生活百科 > >

常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御

Web安全


常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御

文章插图
 
1.SQL注入
原理:
1).SQL命令可查询、插入、更新、删除等,命令的串接 。而以分号字元为不同命 令的区别 。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式)
2).SQL命令对于传入的字符串参数是用单引号字元所包起来 。(但连续2个单引 号字元,在SQL资料库中,则视为字串中的一个单引号字元)
3).SQL命令中,可以注入注解
预防:
1).在设计应用程序时,完全使用参数化查询(Parameterized Query)来设计数据 访问功能 。
2).在组合SQL字符串时,先针对所传入的参数作字元取代(将单引号字元取代为 连续个单引号字元) 。
3).如果使用php开发网页程序的话,亦可打开PHP的魔术引号(Magic quote)功 能(自动将所有的网页传入参数,将单引号字元取代为连续2个单引号字元) 。
4).其他,使用其他更安全的方式连接SQL数据库 。例如已修正过SQL注入问题的 数据库
5).连接组件,例如ASP.NET的SqlDataSource对象或是 LINQ to SQL 。
使用SQL防注入系统 。
 
2. XSS攻击
原理:
xss攻击可以分成两种类型:
1.非持久型xss攻击
非持久型xss攻击是一次性的,仅对当次的页面访问产生影响 。非持久型xss攻击 要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本 被用户游览器执行,从而达到攻击目的 。
2.持久型xss攻击
持久型xss攻击会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据
一直存在 。下面来看一个利用持久型xss攻击获取session id的实例 。
防范:
1.基于特征的防御
XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同 。这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS攻击 。
传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查 。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“JAVAscript”这个关键字进行检索,一旦发现提交信息中包含“JavaScript”,就认定为XSS攻击 。这种检测方法的缺陷显而易见:骇客可以通过插入字符或完全编码的方式躲避检测:
1). 在javascript中加入多个tab键,得到
<IMG SRC=https://www.isolves.com/it/aq/wl/2020-05-06/"jav ascript:alert('XSS');">;
2). 在javascript中加入(空格)字符,得到
<IMG SRC=https://www.isolves.com/it/aq/wl/2020-05-06/"javascri pt:alert('XSS');">;
3). 在javascript中加入(回车)字符,得到
<IMG SRC=https://www.isolves.com/it/aq/wl/2020-05-06/"javasc
ript:alert('XSS');">;
4). 在javascript中的每个字符间加入回车换行符,得到
<IMG SRC=https://www.isolves.com/it/aq/wl/2020-05-06/"javascriprnt:alert('XSS');">
5). 对”javascript:alert(‘XSS’)”采用完全编码,得到
<IMGSRC=https://www.isolves.com/it/aq/wl/2020-05-06/javascrip?74:alert('XSS')>
上述方法都可以很容易的躲避基于特征的检测 。而除了会有大量的漏报外,基于特征的
还存在大量的误报可能:在上面的例子中,对上述某网站这样一个地址,由于包含了关键字“javascript”,也将会触发报警 。
2.基于代码修改的防御
和SQL注入防御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免:
对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤 。
实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行 。
确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTTP only的cookie 。
 
3. CSRF攻击
原理:
CSRF攻击原理比较简单,假设Web A为存在CSRF漏洞的网站,Web B为攻 击者构建的恶意网站,User C为Web A网站的合法用户 。
 
1.用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用 户登录网站A成功,可以正常发送请求到网站A;
3.用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;


推荐阅读


上一篇:淘宝直通车展现量很少是什么原因? 开了直通车自然流量越来越少

下一篇:超级推荐如何拉动首页流量 淘宝超级推荐流量在哪里看得到