WEB SQL注入与XSS跨站请求

最新推荐文章于 2024-09-19 09:35:00 发布
最新推荐文章于 2024-09-19 09:35:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: 安全+性能+负载 文章标签: sql web httpmodule regex url string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/webwalker/article/details/5298149
版权

       SQL注入、XSS的跨站入侵,已是老的话题,但很多时候前端开发人员一不留神则会忽略了此类安全的过滤。以下通过简单的代码示例展示这两种入侵的全局屏蔽,当然如果你需求对URL中特殊页面传输敏感字符,则可增加页面配置规则,放行即可。

       考虑到非法请求有两种:GET方式:Encode之前、Encode之后的URL串,POST方式:表单提交;所有欲全局控制,则可在APP请求生命周期的最前端完成拦截(.NET:httpmodule、httphandler)。对GET请求,Encode前后分别做校验,对form方式数据,则需要全局遍历Form数据,本示例仅给出GET方式的Request请求处理。

示例:

            string regexsString = @"\'|;|#|--|<|>|\*|\+|\(|\)|chr(34)|chr(0)|([\s\b+()]+(select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists)[\s\b+]*)";
            string url = HttpContext.Current.Request.RawUrl.ToString();

            bool IsValid = true;
            Regex regex = new Regex(regexsString, RegexOptions.IgnoreCase);
            string decodeUrl = HttpUtility.UrlDecode(url);
            if (regex.IsMatch(url) || regex.IsMatch(decodeUrl))
            {
                IsValid = false;
            }
            if (!IsValid)
            {
                LogHelper.Security("Security:", "非法的SQL注入" + " Ip:" + GlobalItem.GetRequestIP + ", Url:" + url);
                HttpContext.Current.Response.Redirect("ErrorPage.aspx?code=" + ErrorDefine.INVALID_SQL_INJECT);
            }

regexsString 用以配置过滤敏感字符的规则。

webwalker
关注
专栏目录
常见的Web攻击方式:SQL注入XSS跨站脚本攻击、CSRF跨站请求伪造
学习
07-07 7007
常见的Web攻击有SQL注入XSS跨站脚本攻击、跨站请求伪造共三类,下面分别简单介绍。 1 SQL注入 1.1 原理        SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入漏洞到底是以怎样的形式进行攻击的呢,接下来将以一个简单的实例来进行介绍。   &...
XSSSQL注入
weixin_51909453的博客
12-15 1248
XSSSQL注入 1.实验目的 实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 2.实验过程 实验步骤: XSS部分:利用Beef
valuestack,stackContext,ActionContext.之间的关系
Fupengyao的博客
12-05 702
 三者之间的关系如下图所示: ActionContext  一次Action调用都会创建一个ActionContext  调用:ActionContext context = ActionContext.getContext()  ValueStack  由OGNL框架实现  可以把它简单的看作一个List    Stack O
web跨站脚本攻击(XSS)与sql注入攻击 实例
a116385895的博客
07-02 3235
免责申明:对于此内容仅是提供参考,用于开发人员针对黑客攻击做好安全防范 XSS攻击: 跨站脚本在英文中称为Cross-Site Scripting,缩写为CSS。但是,由于层叠样式表 (Cascading Style Sheets)的缩写也为CSS,为不与其混淆,特将跨站脚本缩写为XSS跨站脚本,顾名思义,就是恶意攻击者利用网站漏洞往Web页面里插入恶意代码,一般需要以下几个条件: 客户端访问的网站是一个有漏洞的网站,但是他没有意识到; 在这个网站中通过一些手段放入一段可以执行的代码,吸引客户
Web基本架构与Web攻击介绍(SQL注入XSS、CSRF)
m0_49864110的博客
12-17 1252
Web服务端的发展Web服务端其实也是跟着Web而发展的Web的静态页面时期服务器通过HTML等后缀文件组成静态页面来供客户端访问Web的动态页面时期1服务器提供动态页面,而动态页面是由脚本驱动的(PHP脚本文件),由于客户端无法识别php、js等脚本文件因此需要将PHP脚本文件经过服务器端的语言解释器,将其解析为HTML文件,发送到Web客户端进而显示出来(浏览器看到的该文件后缀为PHP,而不是HTML)Web的动态页面时期2。
web安全问题:SQL注入XSS 、CSRF
愤怒的小火柴人
05-04 1131
对于一个前端网页,并不是运行起来,部署完了就大功告成了,因为,总有一些攻击手段会让你的网站崩坏。
解决SQL注入XSS攻击
weixin_43525722的博客
11-23 1302
最近接手之前同事的几个项目,公司利用扫描工具进行全项目扫描,发现了部分项目代码存在安全漏洞,所以需要进行项目代码修复以避免有人恶意攻击。这个任务自然而然的就落到我手上。在这里记录一下操作的过程。 扫描出来的漏洞主要有两种,一种是SQL注入,一种是XSS攻击。以下就是我的一个解决过程。 SQL注入 什么是SQL注入,百度百科这样定义的:SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所
xss攻击 SQL注入
qq_65208982的博客
06-10 1350
QL注入,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。SQL 注入一般发生在用户交互场景中,比如需要用户自已输入信息的输入框,或者下拉选择选项的这种,如果不做好输入内容的过滤,就很可能发生 SQL 注入。
XSS注入(跨站脚本攻击)原理与实践
打工人的自我修养
04-26 2383
XSS注入是一种最普遍的网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。
开发代码安全规范-防SQL注入XSS跨站攻击代码编写规范.doc
07-14
"开发代码安全规范-防SQL注入XSS跨站攻击代码编写规范" 随着技术的高速发展,Web应用被广泛使用,伴随而来的各种安全隐患也日益增加。其中,SQL注入XSS跨站攻击是两个最为常见的安全漏洞类型。为了防止这些漏洞...
开发代码安全规范防SQL注入XSS跨站攻击代码编写规范样本.doc
08-04
开发代码安全规范防SQL注入XSS跨站攻击代码编写规范样本 随着技术的高速发展,Web应用被广泛使用,但同时也伴随着各种安全隐患。为了提高编程人员的安全意识和安全编程经验,本规范提供了防止SQL注入XSS跨站...
WebGoat是一个开源的Web安全教育平台,旨在通过实践课程帮助用户理解并防御SQL注入XSS跨站脚本攻击)、CSRF(跨
09-12
webgoat通关WebGoat是一个开源的Web安全教育平台,旨在通过实践课程帮助用户理解并防御SQL注入XSS跨站脚本攻击)、CSRF(跨站请求伪造)等常见的Web安全漏洞。以下是WebGoat通关的一般步骤和建议: 一、注册与...
用户登录安全性的简单实例分析(Cookie、加密)
热门推荐
WebWalker
05-04 2万+
用户登录安全性的简单实例分析(Cookie、加密)                                                               关键字:Cookie;DES加解密算法;安全性;权限;下面是以前写的一篇文章,不一定会在目前的实际项目中应用,所以仅作为个人的业余读书、业余爱好。 从事hack的朋友可能会经常提到SQL注入、暴库、COO
基于大数据量的缓存查询实现方案
WebWalker
10-29 1万+
业务、应用系统最常用的就是基于数据的查询,这不同于宏观意义上的系统各个层面优化(应用端、服务端、DB端等等),基于数据的查询更多时候需要考虑数据的规模、用户的习惯、数据的变化性等因素,但同时数据查询的优化也贯穿着系统的各个层面。本文主要针对一个特定领域进行分析,以供各位参考!        基于数据的查询往往首要考虑的是缓存数据,那么缓存的前提:        1、数据不会实时变化
防刷新、恶意攻击处理方案分析
WebWalker
11-21 3134
网站、服务以及对外提供的接口等几乎所有的B/S、C/S应用,在运营的过程中,往往都有可能会遇到意想不到的暴力型攻击威胁,通常所说的有两类:恶意刷新、暴力破解(穷举),当然也不乏有应用漏洞扫描等,实现方式多样,大致有以下情形: (1)   暴力猜测密码等敏感信息 (2)   恶意刷新页面,致使服务器处于繁忙应答状态 (3)   穷举验证码 (4)   后台扫描 (5)   合法业务的不合法
网站性能优化摘要
WebWalker
01-18 2469
在满足相同用户业务、功能需求外,很多用户或许会选择“最好”的服务提供商,可见在一个提供互联服务的web网站,用户体验、网站性能是多么的重要。本文结合自身的性能优化实践经历,做下简要的总结,当然性能优化的范围很广,本文未能提供过于明细的介绍某些优化如何实现以及具体的优化方案,仅做简要介绍,提供简要思路供各位参考;另外当然性能优化在不同类型的网站、应用中关键点有所不同,以下只针对WEB应用型站点做简要
web基础—dvwa靶场(八)SQL Injection(Blind)
m0_74080781的博客
09-18 1272
SQL Injection(Blind),SQL盲注,相比于常规的SQL注入,他不会将返回具体的数据信息或语法信息,只会将服务器包装后的信息返回到页面中。
Python国产新 ORM 框架 fastzdp_sqlmodel 快速入门教程
最新发布
Python私教
09-19 507
【代码】Python国产新 ORM 框架 fastzdp_sqlmodel 快速入门教程。
Web安全总结分析:XSS跨站SQL注入、文件操作等威胁
本文将从多个角度对WEB安全进行总结分析,包括XSS跨站SQL注入、文件操作、访问控制、伪造请求、Session管理、Web标准化、错误处理、逻辑问题、第三方软件安全等多个方面。 **XSS跨站脚本(XSS)** XSS跨站脚本是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值