常见web安全及防护原理

已于 2022-10-30 10:22:08 修改
阅读量1.6k 收藏 3
点赞数
文章标签: web安全
于 2022-10-30 09:41:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AriesTina/article/details/127595423
版权

背景:

作为新手刚入门解决web安全问题时,可以参考大量的理论知识,但具体的攻击细节以及解决方法却很模糊。特此根据工作经验,详细罗列了下。以防自己忘记,也方便快速教会别人~
本文将介绍以下几种常见的攻击手段

  • SQL注入攻击
  • XSS攻击

sql注入

攻击者在用户输入中添加了额外的sql语句,对数据库进行了非法操作

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

如果后台的sql语句使用了动态拼接sql或者非参数化sql,就容易发生sql注入

动态拼接举例:

在这里插入代码片

非参数化sql举例:(例如用的${name}而不是#{name})

在这里插入代码片

那么web是如何攻击的呢?

例如界面上有个删除操作,前台将taskId传给了后台,攻击者故意写成777 | where 1=1
后台收到参数不加任何校验,执行了sql

delete from tb_task where id = ${id}

实际上会执行这个sql

delete from tb_task where id = 777 | 1=1;

显然,就会将整个tb_task表中的数据删掉了,从而达到了攻击的目的,毁坏了系统,让系统无法正常工作。数据都丢了,客户不投诉你才怪~

那么如何解决这类问题呢?

1.从前端入手,对用户输入进行校验,例如不要输入|&等特殊字符。但用户有时候就是想输入这些特殊字符呢?
2.从后端入手,后端构建一个防御体系框,对输入进行校验。
3.还是从后端入手,使用参数化SQL命令

sql注入原理
就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
总的来说有以下几点:
1)永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引
号和双"-"进行转换等。
2)永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。
3)永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
4)不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息

XSS攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。

将指令代码注入到网页上,网页上加载了这个恶意指令,就容易发生XSS攻击

恶意指令举例

alert('I am a bad link, go to ***');

那么web是如何攻击的呢?

正常情况下,后台返回什么数据,前台就展示什么数据。但后台数据可能包含了恶意指令,例如恶意html或js代码,前台却执行了。
恶意指令可以打开一个弹窗或新页面,弹窗或者页面上有一个恶意链接,诱导了用户打开。用户在恶意页面上(用户以为是合法页面)填写了自己的机密信息,这些信息就被恶意者盗走了。数据被盗走了,客户不投诉你才怪~

那么如何解决这类问题呢?

1.前端不要什么数据都展示好嘛?你和后台可是互不相信滴。对后台返回的数据都要进行转义或者特殊处理,再呈现给用户。React框架JSX语法对此就很友好的处理了,此外一些组件库框架也会友好处理。
2.如果你的框架很原始,那就只能自己动手转换了。对要展示在页面上的数据进行encode等操作。
3.后台数据大部分也是用户输入存入后台库的,所以也可以在界面输入上加校验。一般校验用户输入的长度和非法字符。如果业务上对某个参数有自己的规则,则要按照客户的要求来校验。

常见非法字符:

<>&|;,*

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容

Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意 html标签或者javascript代码。比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。
XSS防范方法
首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤;其次任何内容写到页面之前都必须加以encode,避免不小心把html tag 弄出来。这一个层面做好,至少可以堵住超过一半的XSS 攻击。
首先,避免直接在cookie 中泄露用户隐私,例如email、密码等等。
其次,通过使cookie 和系统ip 绑定来降低cookie 泄露后的危险。这样攻击者得到的cookie 没有实际价值,不可能拿来重放。
如果网站不需要在浏览器端对cookie 进行操作,可以在Set-Cookie 末尾加HttpOnly 来防止javascript代码直接获取cookie 。
尽量采用POST 而非GET 提交表单

XSS和CSRF的区别(没看懂)

XSS是获取信息,不需要提前知道其他用户页面的代码和数据包。CSRF是代替用户完成指定的动作,需要知道其他用户页面的代码和数据包。
要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  • 登录受信任网站A,并在本地生成Cookie。
  • 在不登出A的情况下,访问危险网站B。
    CSRF的防御:
  • 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。
  • 通过验证码的方法

保护Cookie

对cookie的保护一般放在tomcat安全加固中。可以参考tomcat安全方面的资料

AriesTina
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈Web安全技术----RBI
Sunccie36615的博客
06-06 5223
RBI(Remote Browser Isolation),中文翻译过来叫远程浏览器隔离技术
Web前端开发中的黑客技术以及安全技术(共七种)
javagty6778的博客
03-03 651
想当黑客?是的,基本每个程序员都有一颗相当黑客的心。从【黑客帝国】再到【欧洲攻略】,Hackers总是在黑暗中微笑,慢慢的侵蚀着互联网,侵蚀着他想要去的地方,获取别人的数据库,获取自己想要的信息,是不是帅到不讲武德。但是,我们身为公司的员工,我们有义务和责任保护公司的信息安全,这时候,我们可能有需要和黑客作斗争,化身为正义的天神,与黑暗中那个微笑的男人征战。所以说,这篇文章我想告诉大家前端黑客是如何操作的以及在公司我们如何保护好项目不受侵犯。
网络安全最常用的防护措施!
oldboyedu1的博客
02-23 1974
它是一种通过硬件或软件对网络上的数据流进进行实时检测,并与系统中的入侵特征数据库进行验证,能有效将入侵地数据包进行过滤与抵挡的网络实时监控技术。此技术的主要防护功能是通过对网络的全面系统扫描,网络管理员能在有效了解网络安全配置与运行的应用服务的情况下,及时发现安全漏洞,即时进行风险等级评估,并采取相应的防护措施进行处理以降低系统的安全风险。防火墙是一种用来保护内部网络操作环境的网络安全部件,其功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络或访问内部网络资源。
计算机信息安全防护措施有哪些丨十大保护电脑的举措
最新发布
2401_83058349的博客
03-17 432
电脑如此重要,关键是里面的数据重要,它因此也成为了网络罪犯的主要攻击目标,近年来数据泄漏造成的危害越来越严重,保护个人电脑安全,显得越来越重要。防病毒软件是保护电脑安全的基本工具,能够及时发现并清除病毒、木马等恶意程序,有效防止信息泄露和系统崩溃。操作系统和软件的漏洞是黑客攻击的主要入口,定期更新能够修补这些漏洞,提升系统安全性。提高个人信息安全意识,不轻信网络诈骗,不随意泄露个人信息,是保护电脑安全的根本。避免安装来源不明的软件,限制软件安装权限,防止恶意软件侵入系统。二、定期更新操作系统和软件。
常见WEB漏洞原理分析及防护
08-22
常见WEB漏洞原理分析及防护,如何防御web漏洞攻防技术
常见Web应用的漏洞总结(原理、危害、防御)
热门推荐
空心菜的博客
04-15 1万+
一、 SQL注入(SQL Inject)[OWASP TOP1 2017]: 二、 XSS(Cross-site Script)[OWASP TOP7 2017] 三、 上传漏洞 四、 文件解析漏洞 五、 CSRF(Cross-Site Request Forgery) 六、 DDos攻击 分布式拒绝服务(Distributed Denial of service Attack) ...
web安全是什么?主要分为哪几部分?
bdfcfff77fa的博客
03-23 2381
随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在web平台上,web业务的迅速发展也引起黑客们的强烈关注,接踵而来的就是web安全威胁的凸显。黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对web应用安全的关注度也逐渐升温。
网络安全原理与应用:网络信息收集.pptx
05-16
了解常见网络信息收集方法的基本原理; 了解常见的网络信息收集方法; 掌握简单的网络信息收集方法; 网络信息收集 一、网络信息收集的必要性 “知己知彼,百战不殆;不知彼而知已,一胜一负;不知彼,不知已,每战...
计算机病毒与防护:文件上传漏洞原理.ppt
06-10
* * * * * * * * * * * * 文件上传漏洞原理 文件上传功能是大部分WEB应用的必备功能,网站允许用户自行上传头像、一些社交类网站允许用户上传照片、一些服务类网站需要用户上传证明材料的电子档、电商类网站允许用户...
企业网络安全防护技术措施.doc
06-07
企业网络安全防护技术措施 目 录 第1章 绪论 1 第2章 企业网络安全概述 3 2.1 网络安全 3 2.2 安全隐患 3 2.2.1 完整性 3 2.2.2 机密性 3 2.2.3 可用性 4 2.3 安全分类 4 2.4 网络安全的目标 4 2.4.1 消除盗窃 4 ...
浅谈网络安全防护技术.doc
06-08
本文从常见 的网络安全防护方法入手,结合实践探讨有效的防护措施。 关键词:网络安全 病毒 黑客 防火墙 入侵检测 随着计算机网络应用的广泛深入,网络安全问题变得日益复杂和突出。网络的资源共 享、信息交换和分布...
Web安全技术(2)-安全概述
gp_leo的专栏
04-23 1052
一、安全的要素 信息安全的核心问题是要保障数据的合法使用者能够在任何需要该数据时获得保密的,没有被非法更改过的数据。主要有以下几要素: 机密性 保证数据内容不能泄露。用户的密码用明文保存,就破坏了机密性。 完整性 保证数据内容不被篡改。使用HTTP提交数据时,数据在传输过程中被篡改后再发往服务器,就破坏了完整性。 可用性 保证数据可被正常访问和使用。像拒绝
web安全技术
qq_30401659的博客
09-14 1736
加密机制 加密算法 数据加密算法有对称加密、非对称加密和信息摘要三类。 对称加密是使用单个密钥对数据进行加密和解密。有DES、AES、RC-5等算法。 非对称加密是使用一对密钥(公钥和私钥)对数据进行加密和解密。有RSA、ECC等算法。非对称加密大概比对称加密慢100倍以上。 通常的用法如下: (1)、使用公钥加密数据,使用私钥解密数据。(2)、使用私钥签名数据,使用公钥验证签名。
Web安全基础总结
周游的世界
03-11 5125
Web安全基础总结   1.SQL注入(SQL Injection) 定义: 由于程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 原因分析:     其本质是对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。由于我们的部分WEB应用,采用Jsp+J
十大WEB网络黑客技术
qq_53058639的博客
03-09 404
在《依赖性混淆》()这篇文章中,作者揭露了影响主要软件包管理者的关键设计和配置缺陷,利用软件包名称的模糊性在众多大公司上实现了RCE,并获得了超过10万美元的奖金。依赖性混淆,即依赖关系混淆攻击,是一种新颖的软件供应链攻击。它利用的是软件中可能包含多种私有和公开来源组件的事实,这些外部的软件包依赖关系源自build进程中的公开仓库。
web网络安全
huitest的博客
03-31 3882
前言 如今人们的生活已经离不开网络,每天都有大量的信息通过web页面进入每个人的视线,那么web网路安全就显得尤为重要。 正文 web网络安全,主要由三个方面来保障: 同源策略 预防xss攻击 预防csrf攻击 接下来我们一个一个详细讲解。 同源策略 同源策略,作为一个前端工程师,应该是必备知识。大多数人接触到同源策略都是在和后端交互发送Ajax请求,发生跨域时。那你知道什么是同源策略么?实际上同源策略还有其他两个层面,你知道嘛? 什么是同源策略 我们首先了解下一个URL地址的组成部分。
Web安全技术(4)-常见的攻击和防御
gp_leo的专栏
04-25 1457
对于一个Web应用来说,可能会面临很多不同的攻击。下面的内容将介绍一些常见的攻击方法,以及面对这些攻击的防御手段。
【计算机网络】常见Web 安全问题原理及防御
Dora_5537的博客
08-08 531
一、SQL 注入 SQL注入是一种众所周知的攻击,可以通过简单的措施轻松阻止。 1.SQL注入的原因 SQL注入的原因,是将查询参数,直接拼接在 SQL 语句中,然后把用户输入的字符串,当作“SQL语句” 来执行。 2.SQL注入的防御 1)采用SQL语句预编译和绑定变量,是防御SQL注入的最佳方法。 即让SQL引擎预先进行语法分析,产生语法树,生成执行计划;这样,无论你后面输入...
web漏洞的原理 存在场景 危害及防护方法
06-08
Web漏洞是指Web应用程序中存在的安全漏洞,攻击者可以利用这些漏洞,获取Web应用程序的敏感信息或者进行非法操作。常见Web漏洞有以下几种: 1. SQL注入漏洞:攻击者通过构造恶意的SQL语句,绕过应用程序的身份认证和访问控制,获取数据库中的敏感信息或者进行数据篡改。 2. XSS漏洞:攻击者通过在Web应用程序中注入恶意代码,绕过浏览器的安全策略,获取用户的敏感信息或者进行非法操作。 3. CSRF漏洞:攻击者通过伪造用户认证信息,实现对已经登录的用户进行非法操作。 4. 文件包含漏洞:攻击者通过构造恶意的文件路径,获取Web应用程序中的敏感文件,或者执行任意代码。 Web漏洞的危害非常大,可能导致信息泄露、数据篡改、系统瘫痪等后果。因此,需要采取以下措施加强防护: 1. 定期对Web应用程序进行安全测试,发现并修复漏洞; 2. 避免使用不可信的用户输入,对用户输入进行过滤和验证; 3. 对用户的身份认证和访问控制进行严格管理,限制用户的权限; 4. 对Web应用程序中的敏感信息进行加密处理,防止数据泄露; 5. 使用安全的编程模式和开发框架,减少漏洞的产生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值