程序员常用的3大Web安全漏洞防御解决方案:XSS、CSRF及SQL注入(图文详解)

最新推荐文章于 2020-12-07 22:48:10 发布
最新推荐文章于 2020-12-07 22:48:10 发布
阅读量1.3k 收藏 10
点赞数 1
分类专栏: 高并发架构系列 文章标签: java 架构 程序员 技术 互联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChenRui_yz/article/details/86489067
版权
本文介绍了Web安全中的三大常见问题:XSS、CSRF和SQL注入,详细阐述了它们的危害及防御措施。对于XSS,强调了过滤用户提交信息的重要性;对于CSRF,提出了验证HTTP Referer字段和使用令牌的解决方案;而对于SQL注入,推荐使用参数化语句和数据加密来防止攻击。
摘要由CSDN通过智能技术生成

随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。

01 常见的Web安全问题

1.前端安全

XSS 漏洞

CSRF 漏洞

2.后端安全

SQL 注入漏洞

程序员学架构mikechen优知

02 XSS漏洞

1.XSS简介

跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

2.XSS攻击的危害

  • 盗取用户资料,比如:登录帐号、网银帐号等;
  • 利用用户身份,读取、篡改、添加、删除数据等;
  • 盗窃重要的具有商业价值的资料;
  • 非法转账;
  • 强制发送电子邮件;
  • 网站挂马;
  • 控制受害者机器向其它网站发起攻击。

3.防止XSS解决方案

XSS的根源主要是没完全过滤客户端提交的数据 ,所以重点

最低0.47元/天 解锁文章
mikechen的互联网架构
关注
专栏目录
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
WEB前端笔试题(3)——前端安全问题
weixin_30840573的博客
09-26 121
1.XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 类型: (1)来自内部的攻击 主要指的是利用程序自身的漏洞,...
web漏洞发现与解决方案
weixin_34319999的博客
08-26 600
漏洞发现与解决方案来源:www.secnumen.com网站漏洞随着web应用的日益增多,如电子商务,交流论坛,公司网站等等都使用web作为应用的平台,如何保证web应用的安全性也成为当前日益重要、必须解决的问题。WEB服务器存在的主要漏洞包括物理路径泄露,CGI源代码泄露,目录遍历,执行任意命令,缓冲区溢出,拒绝服务,条件竞争和跨站脚本执行漏洞,和CGI漏洞有些相似的地方,...
常见web安全问题,SQL注入XSSCSRF,基本原理以及如何防御
资料qun832218493
04-10 5530
1.SQL注入 原理: 1).SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字元为不同命 令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式) 2).SQL命令对于传入的字符串参数是用单引号字元所包起来。(但连续2个单引 号字元,在SQL资料库中,则视为字串中的一个单引号字元) 3).SQL命令中,可以注入注解 预防: 1).在设计应用程序时,完全...
安全漏洞概念及分类
热门推荐
maoji的专栏
10-12 3万+
本文是一个安全漏洞相关的科普,介绍安全漏洞的概念认识,漏洞在几个维度上的分类及实例展示。 安全漏洞及相关的概念 本节介绍什么是安全漏洞及相关的概况。 安全漏洞的定义 我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、
WEB安全有关问题
Blablabla_的博客
02-02 2216
常见的针对web前端的攻击主要有: 1.跨站点脚本攻击(XSS) 概述:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(...
Java Web应用安全防护:抵御CSRFXSS攻击的策略
08-28
CSRFXSS攻击是Web应用开发中必须面对的安全挑战。通过本文的详细介绍,你应该能够理解这些攻击的原理和防护策略。在Java Web应用开发中,实施有效的CSRFXSS防护措施是确保用户数据安全和应用稳定性的关键。随着...
WebGoat是一个开源的Web安全教育平台,旨在通过实践课程帮助用户理解并防御SQL注入XSS(跨站脚本攻击)、CSRF(跨
最新发布
09-12
webgoat通关WebGoat是一个开源的Web安全教育平台,旨在通过实践课程帮助用户理解并防御SQL注入XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等常见的Web安全漏洞。以下是WebGoat通关的一般步骤和建议: 一、注册与...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
关于输入校验(Input valiation)和SQL注入(SQL injection)
Mike的专栏
12-23 5220
要防SQL注入就要了解所有可能的SQL注入. 个人认为不存在验证层一说. 这个属于输入校验Input validation. 应该与各页面结合起来. 同时使用客户端验证和服务器端验证. 之所以要同时用客户端和服务器端验证, 客户端验证是为了减少向服务器提交的次数, 服务器端验证是为了安全, 因为黑客可以绕过Javascript等向服务器提交非法数据. 所有需要输入的地方, 包括web form中每
输入校验一(对所有方法有效)
Jefry2008的专栏
10-17 368
在Struts2中,我们可以实现对Action的所有方法进行校验或者对action的指定方法进行校验。 对于输入校验struts2提供了两种实现方法: a、采用手工编写代码实现 b、基于XML配置方式实现 1、手工方法实现对所有的方法进行验证 Action(需继承ActionSupport) [code="java"]package action; import com.open...
Web基础漏洞防御小结
Amire0x的小乐园
12-07 472
Web基础漏洞防御小结 SQL注入 SQL注入攻击的问题最终归于用户可以控制输入,有输入的地方就可能存在风险
Web开发中防止程序出现漏洞的一些有效手段
wang_quan_li的专栏
11-21 2556
如今的Web应用程序可能会包含危险的安全缺陷。这些应用程序的全球化部署使其很容易遭受攻击,这些攻击会发现并恶意探测各种安全漏洞。    Web环境中两个主要的风险在于:注入——也就是SQL注入,它会让黑客更改发往数据库的查询——以及跨站脚本攻击(XSS),它们也是最危险的  (Category:OWASP_Top_Ten_Project)。注入攻击会利用有问题代码的应用程序来插入和执行黑客指
前后端防XSS、SQL、CORS
点点的博客
08-10 1087
后端:1、filter拦截(过滤器) 2、采用jsoup过滤组件 前端:1、js-xss 2、https://segmentfault.com/a/1190000016551188
DDOS、CC、sql注入,跨站攻击防御方法
weixin_30311605的博客
06-18 473
web安全常见攻击解读--DDos、cc、sql注入xssCSRF 一,DDos https://www.cnblogs.com/sochishun/p/7081739.html#4111858 http://nic.swu.edu.cn/s/nic/thyt/20180604/2555404.html 1.1 DDos介绍   DDoS是英文Distributed Denia...
web安全及防护(XSSCSRFsql注入)
田兴的博客
10-26 2420
sql注入原理 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 总的来说有以下几点: 1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息明文存放,请加密或者hash掉密码和敏感的信
常见的web漏洞及其防范
恒之传说
08-04 1万+
一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下,SQL注入的位...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值