防止xss攻击与sql注入

最新推荐文章于 2024-01-31 21:04:21 发布
最新推荐文章于 2024-01-31 21:04:21 发布
阅读量4.1k 收藏 3
点赞数
分类专栏: java 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JACKGAOLEI/article/details/50997351
版权

XSS

xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。Xss脚本攻击类型分为:非持久型xss攻击、持久型xss攻击。

1.非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。

2.持久型xss攻击会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。

 

防止Xss攻击:过滤表单提交的数据,将可疑的内容去掉。

1.继承HttpServletRequestWrapper类,使用装饰模式重写HttpServletRequest的获取参数方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
package  com.soufun.wap.servlet;
 
import  javax.servlet.http.HttpServletRequest;
import  javax.servlet.http.HttpServletRequestWrapper;
 
import  org.apache.commons.lang.StringEscapeUtils;
 
public  class  XSSRequestWrapper  extends  HttpServletRequestWrapper {
     public  XSSRequestWrapper(HttpServletRequest servletRequest) {
         super (servletRequest);
     }
 
     @Override
     public  String[] getParameterValues(String parameter) {
         String[] values =  super .getParameterValues(parameter);
         if  ( "pageChildren" .equals(parameter)) {
             return  values;
         }
         if  (values ==  null ) {
             return  null ;
         }
         int  count = values.length;
         String[] encodedValues =  new  String[count];
         for  ( int  i =  0 ; i < count; i++) {
             encodedValues[i] = stripXSS(values[i]);
         }
         return  encodedValues;
     }
 
     @Override
     public  String getParameter(String parameter) {
         String value =  super .getParameter(parameter);
         return  stripXSS(value);
     }
 
     private  String stripXSS(String value) {
         if  ( null  != value) {
             value = value.replaceAll( "<" "<" ).replaceAll( ">" ">" );
             value = value.replaceAll( "\\(" "(" ).replaceAll( "\\)" ")" );
             value = value.replaceAll( "'" "'" );
             value = value.replaceAll( "eval\\((.*)\\)" "" );
             value = value.replaceAll( "[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']" "\"\"" );
             value = value.replaceAll( "script" "" );
             value = StringEscapeUtils.escapeSql(value);
         }
         return  value;
     }
}

2.创建拦截器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
package  com.soufun.wap.filter;
 
import  java.io.IOException;
 
import  javax.servlet.Filter;
import  javax.servlet.FilterChain;
import  javax.servlet.FilterConfig;
import  javax.servlet.ServletException;
import  javax.servlet.ServletRequest;
import  javax.servlet.ServletResponse;
import  javax.servlet.http.HttpServletRequest;
 
import  com.soufun.wap.servlet.XSSRequestWrapper;
 
public  class  SqlXssFilter  implements  Filter {
 
     public  void  init(FilterConfig config)  throws  ServletException {
     }
 
     public  void  doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  throws  IOException, ServletException {
         HttpServletRequest req = (HttpServletRequest) request;
         chain.doFilter( new  XSSRequestWrapper(req), response);
     }
 
     public  void  destroy() {
     }
}

  

3.配置拦截器

1
2
3
4
5
6
7
8
< filter >
     < filter-name >sqlXssFilter</ filter-name >
     < filter-class >com.soufun.wap.filter.SqlXssFilter</ filter-class >
</ filter >
< filter-mapping >
     < filter-name >sqlXssFilter</ filter-name >
     < url-pattern >/*</ url-pattern >
</ filter-mapping >

 

SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

防止sql注入的方法主要有:

1.使用存储过程

2.校验输入的字符串

3.参数化sql

在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,用@或?来表示参数。




JACKGAOLEI
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
WEB安全之XSS漏洞与SQL注入漏洞介绍及解决方案
m0_74131821的博客
04-18 1698
这篇文章把XSS跨站攻击和SQL注入的相关知识整理了下,比较适合初学者观看。
xss攻击 SQL注入
qq_65208982的博客
06-10 944
QL注入,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。SQL 注入一般发生在用户交互场景中,比如需要用户自已输入信息的输入框,或者下拉选择选项的这种,如果不做好输入内容的过滤,就很可能发生 SQL 注入。
【web应用安全攻技术】02 SQL注入 & XSS注入
最新发布
m0_57432233的博客
01-31 1478
SQL注入攻击是利用Web应用程序数据层存在的输入验证不完善型安全漏洞实施的一类代码注入攻击技术跨站脚本是一种通常存在于Web应用程序中的安全漏洞,使得攻击者可以将恶意的代码注入到网页中,从而危害其他Web访问者(敏感信息、客户端渗透攻击等)客户端脚本:Javascript,Flash ActionScript等。
实验三:XSSSQL注入
yghlqgt的博客
11-27 586
试验前需要掌握的知识 下面内容是试验前你需要了解并掌握的知识,详细的内容可以移步到这篇博客中去学习:试验前的知识储备 XSS部分 1、什么是XSS 2 、什么是XSS攻击 3、 什么是Cookie 4、XSS漏洞的分类 5、XSSSQL注入部分 1、什么是SQL注入攻击 2、为何会有SQL注入攻击 3. 何时使用SQL注入攻击 4、MySQL简介 5、实施SQL注入攻击 6、SQL注入方法汇总 实验部分 实验目的: 了解什么是XSS;了解XSS攻击实施,理解XSS攻击的方法;了解SQL注入
XSSSQL的简单介绍
qq_53188113的博客
12-23 863
XSS 1、什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 2、什么是XSS攻击 XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,由于HTML语言允许使用脚本进行简单交互,入..
java 防止XssSQL注入攻击
热门推荐
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
Yii框架防止sql注入xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入xss攻击与csrf攻击的范方法与相关函数调用注意事项,需要的朋友可以参考下
sql注入xss攻击, springmv拦截器
07-24
sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
实验三 XSSSQL注入
weixin_62035484的博客
11-22 696
guet-信息安全专业-网络渗透测试实验三
如何预SQL注入XSS攻击
一个傻子程序媛的博客
06-10 4943
SQL注入简介 SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句...
防止SQL注入XSS攻击Filter
06-03
防止SQL注入XSS攻击Filter
springboot防止XSS攻击sql注入
程序员小明1024
03-20 663
文章目录 1. XSS跨站脚本攻击 ①:XSS漏洞介绍 ②:XSS漏洞分类 ③:护建议 2. SQL注入攻击 ①:SQL注入漏洞介绍 ②:护建议 3. SpringBoot中如何防止XSS攻击sql注入 1. XSS跨站脚本攻击 ①:XSS漏洞介绍 跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入...
SQL注入XSS攻击
neverSaynever_的博客
02-20 1547
攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。这里不仅仅 div 的内容被注入了,而且 input 的 value 属性也被注入, alert 会弹出两次。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。
安全测试SQL注入XSS攻击
wenroudong的博客
11-05 4158
SQL注入原理: 注入攻击的本质:把用户输入的数据当做代码执行。 两个必要的条件:一是用户可以控制输入;二是原本要执行的代码拼接了用户的输入数据。 1、任何可以与数据库交互的编程语言都可能出现SQL注入漏洞。 2、SQL注入能够让攻击者对服务器进行任意的文件读取,危害巨大。 修复建议: 1、普通用户与系统管理员用户的权限要有严格的区分 数据库应该使用最小权限原则,例如普通用户不允许去查询系统表、调用loadlife函数等;即使终端用户使用SQL语句中带有嵌入式的恶意代码,由于其用户权限的限制,
PHP 预CSRF、XSSSQL注入攻击
云博客_资源宝分享
10-10 1442
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
springboot项目防止XSS攻击sql注入
yy1209357299的博客
02-07 3460
springboot项目防止XSS攻击sql注入
【安全】问题——XSSSQL注入式攻击的一些理解
子规入梧桐
11-23 418
XSSSQL注入式攻击的一些理解 问题产生 昨天正开开心心地码代码,被大佬同事拉去搞修复漏洞,说是我运维的项目出现严重的SQL注入攻击和跨站漏洞。 一开始我是一脸懵逼的,因为之前码代码根本没接触过漏洞这块,编程的时候也没有防止漏洞产生的思想。怀着忐忑的心情就过去了。 到了之后大佬同事给我一份文档,告诉我项目中有个链接被检测出有SQL注入风险的漏洞。 可能的原因 链接访问采用的是...
springboot如何实现使用过滤器防止xss攻击sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值