摘要:跨站腳本攻擊,,為了和前端的避免重名,簡稱為,是指通過技術(shù)手段,向正常用戶請求的頁面中插入惡意腳本,執(zhí)行。這種攻擊主要是用于信息竊取和破壞等目的。防范的漏洞方式驗證,利用瀏覽器的同源限制,在接口執(zhí)行前驗證中的,驗證通過才會繼續(xù)執(zhí)行請求。
相信大家在各種技術(shù)文章都看到過SQL注入、XSS和CSRF這三個名詞,但是我覺得有一部分人可能并不清楚這三個詞的真正含義。接下來,我就說下這三個名詞的含義,希望對大家能有所幫助。
SQL注入
SQL注入是屬于注入式攻擊,這種攻擊是因為在項目中沒有將代碼與數(shù)據(jù)(比如用戶敏感數(shù)據(jù))隔離,在讀取數(shù)據(jù)的時候,錯誤的將數(shù)據(jù)作為代碼的一部分執(zhí)行而導致的。
典型的例子就是當對SQL語句進行字符串拼接的時候,直接使用未轉(zhuǎn)義的用戶輸入內(nèi)容作為變量。這時,只要在sql語句的中間做修改,比如加上drop、delete等關鍵字,執(zhí)行之后后果不堪設想。
說到這里,那么該怎么處理這種情況呢?三個方面:
1、過濾用戶輸入?yún)?shù)中的特殊字符,降低風險。
2、禁止通過字符串拼接sql語句,要嚴格使用參數(shù)綁定來傳入?yún)?shù)。
3、合理使用數(shù)據(jù)庫框架提供的機制。就比如Mybatis提供的傳入?yún)?shù)的方式 #{},禁止使用${},后者相當于是字符串拼接sql,要使用參數(shù)化的語句。
總結(jié)下,就是要正確使用參數(shù)化綁定sql變量。
XSS
XSS:跨站腳本攻擊,Cross-Site Scripting,為了和前端的css避免重名,簡稱為XSS,是指通過技術(shù)手段,向正常用戶請求的HTML頁面中插入惡意腳本,執(zhí)行。
這種攻擊主要是用于信息竊取和破壞等目的。比如2011年的微博XSS攻擊事件,攻擊者利用了微博發(fā)布功能中未對action-data漏洞做有效的過濾,在發(fā)布微博信息的時候帶上了包含攻擊腳本的URL,用戶訪問就會加載惡意腳本,導致大量用戶被攻擊。
關于防范XSS上,主要就是通過對用戶輸入的數(shù)據(jù)做過濾或者是轉(zhuǎn)義,可以使用框架提供的工具類HtmlUtil。另外前端在瀏覽器展示數(shù)據(jù)的時候,要使用安全的API展示數(shù)據(jù)。比如使用innerText而不是innerHTML。
CSRF
跨站請求偽造,在用戶并不知情的情況下,冒充用戶發(fā)送請求,在當前已經(jīng)登錄的web網(wǎng)站上執(zhí)行惡意操作,比如惡意發(fā)帖,修改密碼等。
大致來看,與XSS有重合的地方,前者是黑客盜用用戶瀏覽器中的登錄信息,冒充用戶去執(zhí)行操作。后者是在正常用戶請求的HTML中放入惡意代碼,XSS問題出在用戶數(shù)據(jù)沒有轉(zhuǎn)義,過濾;CSRF問題出現(xiàn)在HTTP接口沒有防范不守信用的調(diào)用。
防范CSRF的漏洞方式:
1、CSRF Token驗證,利用瀏覽器的同源限制,在HTTP接口執(zhí)行前驗證Cookie中的Token,驗證通過才會繼續(xù)執(zhí)行請求。
2、人機交互,例如短信驗證碼、界面的滑塊。
之前在會議上也有一個思考,在人機驗證這塊,如果不用驗證碼的方式,用界面上的滑塊這種方式,而且滑塊還是第三方的。在APP的注冊、登錄使用這種人機驗證的方式的話,如果第三方出現(xiàn)了問題,那么自己的APP就完全崩掉了,發(fā)版之后的APP什么也改不了。
這個問題,你們能想到解決方案嗎?在下一篇文章中,我會說一下討論的結(jié)果。
希望這點分享會對每個讀者有所幫助,如果有什么好的建議,可以在留言區(qū)告訴我。
這樣的分享我會一直持續(xù),你的關注、點贊、轉(zhuǎn)發(fā)和收藏是對我最大的支持,感謝。
如果這篇文章讓你有所收獲,歡迎關注公眾號:java技術(shù)情報局
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/73954.html
摘要:但最近又聽說了另一種跨站攻擊,于是找了些資料了解了一下,并與放在一起做個比較。腳本中的不速之客全稱跨站腳本,是注入攻擊的一種。 XSS:跨站腳本(Cross-site scripting) CSRF:跨站請求偽造(Cross-site request forgery) 在那個年代,大家一般用拼接字符串的方式來構(gòu)造動態(tài) SQL 語句創(chuàng)建應用,于是 SQL 注入成了很流行的攻擊方式。...
摘要:根據(jù)年的報告看一下都有哪些常見攻擊。來自安全測試之有這么個網(wǎng)頁,查詢的結(jié)果和查詢的關鍵字都會顯示到網(wǎng)頁上。安全是個大領域,暫時先到這里,以后有時間再總結(jié)寫別的。安全測試之拒絕服務攻擊知乎討論淺談攻擊方式 搞web離不開security這個話題,之前關注的也不多只是聽說一些名詞什么的。是時候好好看看這些安全問題了。根據(jù)Cenzic 2012年的報告看一下都有哪些常見攻擊。 37% ...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執(zhí)行惡意的命令。此外,適當?shù)臋?quán)限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優(yōu)化。 原因 當使用外...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執(zhí)行惡意的命令。此外,適當?shù)臋?quán)限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執(zhí)行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優(yōu)化。 原因 當使用外...
閱讀 2574·2021-10-19 11:41
閱讀 2415·2021-09-01 10:32
閱讀 3377·2019-08-29 15:21
閱讀 1756·2019-08-29 12:20
閱讀 1161·2019-08-29 12:13
閱讀 599·2019-08-26 12:24
閱讀 2520·2019-08-26 10:26
閱讀 827·2019-08-23 18:40