网站常见漏洞以及解决方案

最新推荐文章于 2024-08-27 10:34:01 发布
最新推荐文章于 2024-08-27 10:34:01 发布
阅读量2k 收藏 4
点赞数
分类专栏: java笔记分享 程序员感悟 文章标签: web java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JavaBuilt/article/details/83787879
版权

转载声明:转载请注明本博客地址

1.1 跨站脚本(XSS)漏洞

漏洞描述

跨站脚本攻击(Cross Site Scripting, XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得其他网站用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃会话 Cookie 从而窃取网站用户的隐私。

漏洞危害

  • 钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼 JavaScript 以监控目标网站的表单输入。
  • 网站挂马:跨站时利用 IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。
  • 身份盗用:Cookie 是用户对于特定网站的身份验证标志,XSS 可以盗取到用户的 Cookie,从而利用该 Cookie 盗取用户对该网站的操作权限。如果一个网站管理员用户 Cookie 被窃取,将会对网站引发巨大的危害。
  • 盗取网站用户信息:当能够窃取到用户 Cookie 从而获取到用户身份时,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。
  • 垃圾信息发送:比如在 SNS 社区中,利用 XSS 漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
  • 劫持用户 Web 行为:一些高级的 XSS 攻击甚至可以劫持用户的 Web 行为,监视用户的浏览历史,发送与接收的数据等等。
  • XSS 蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施 DDoS 攻击等。

解决方案

  • 对参数做 html 转义过滤,要过滤的字符包括:单引号、双引号、大于号、小于号,& 符号,防止脚本执行。
  • 在变量输出时进行 HTML ENCODE 处理。

 

1.2 CSRF 漏洞

漏洞描述

跨站请求伪造(Cross-Site Request Forgery, CSRF),恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。

漏洞危害

  • 信息泄露:如登录ID,隐私信息等。
  • 恶意操作:如加好友,加购物车,删除数据等。

解决方案

CSRF漏洞修复方案主要思路有两类:

  • 验证请求是信任页面发起,这类修复方案有:
    • 在表单中填充一次性随机的 csrf token 防止攻击者伪造 form 表单进行 CSRF。同时将此串 token 置入 session,在后端再进行一次一致性校验。
    • referer 验证。
  • 验证请求是合法用户发起,这类修复方案有:
    • 验证码
    • 密码验证
    • OTP 验证

1.3 HTTP Header 注入漏洞

漏洞描述

Web 程序代码中把用户提交的参数未做过滤就直接输出到 HTTP 响应头中,导致攻击者可以利用该漏洞来注入到 HTTP 响应头中实现攻击。

解决方案

  • 对参数做合法性校验以及长度限制,谨慎的根据用户所传入参数做 HTTP 响应的 Header 设置。
  • 在设置 HTTP 响应头时,过滤回车换行 %0d%0a、%0D%0A 字符。

1.4 目录遍历漏洞

漏洞描述

目录遍历是由于 Web 服务器或 Web 应用程序对用户输入文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过 HTTP 请求和利用一些特殊字符就可以绕过服务器的安全限制,访问任意受限的文件(可以是 Web 根目录以外的文件),甚至执行系统命令。

解决方案

  • 严格检查文件路径参数,限制在指定的范围。
  • 严格限制文件路径参数,不允许用户控制文件路径相关的参数,限定文件路径范围。

1.5 SQL 注入漏洞

漏洞描述
SQL 注入攻击(SQL Injection),被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。 在设计不良的程序当中,忽略了对输入字符串中夹带的 SQL 指令的检查,那么这些夹带进去的指令就会被数据库误认为是正常的 SQL 指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

漏洞危害

  • 机密数据被窃取
  • 核心业务数据被篡改
  • 网页被篡改
  • 数据库所在服务器被攻击变为傀儡主机,甚至企业网被入侵

解决方案

  • 所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中。
  • 对进入数据库的特殊字符 '"\<>&*; 等进行转义处理,或编码转换。
  • 确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为 int 型。
  • 数据长度应该严格规定,能在一定程度上防止比较长的 SQL 注入语句无法正确执行。
  • 网站每个数据层的编码统一,建议全部使用 UTF-8 编码,上下层编码不一致有可能导致一些过滤模型被绕过。
  • 严格限制网站所用数据库账号的权限,给此用户仅提供能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
  • 避免网站显示 SQL 错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。

1.6 文件下载漏洞

漏洞描述

Web 应用程序在处理文件下载时,接受用户指定的路径和文件名进行下载,攻击者利用此漏洞来下载服务器的其它文件甚至任意文件(源代码、数据库甚至 passwd 等)。

解决方案

  • 限制可下载文件所在的目录为预期范围。
  • 通过指定文件编号的方式来定位待下载文件。

1.7 文件上传漏洞

漏洞描述

文件上传的 Web 程序未对文件类型和格式做合法性校验,导致攻击者可以上传 Webshell 或者非期望格式的文件。

解决方案

  • 对上传文件的大小和类型进行校验,定义上传文件类型白名单。
  • 保存上传文件的目录不提供直接访问。

免责声明:技术内容来源于支付宝开源社区,本人经整理筛选后发布

 

 

常见安全漏洞解决方案
ITbirdss的博客
11-17 1815
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
网站常见漏洞及解决办法
09-29
### 网站常见漏洞及解决办法 #### 远端WWW服务支持TRACE请求 **问题描述**:在HTTP协议中,TRACE方法允许客户端从服务器获取请求消息的副本,主要用于调试目的。然而,如果一个Web服务器支持TRACE请求且没有正确...
应用开发安全指南.docx
02-21
应用开发安全指南.docx
常见开发安全规避和敏感信息处理
Java高手真经
09-12 8964
本文转自:https://docs.open.alipay.com/common/105912 1. 常见开发场景安全开发指南 1.1. 敏感信息使用场景 敏感信息指用户的 身份证号、银行卡号、手机号 等身份信息。重要敏感信息的脱敏规范如下。 敏感信息类型 展示规范 身份证 显示前 1 位 + *(实际位数) + 后 1 位
十大常见web漏洞(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
08-27 2454
Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用,Web应用已经融入到日常生活中的各个方面:网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web访问中,大多数应用不是静态的网页浏览,而是涉及到服务器侧的动态处理。此时,如果Java、PHP、ASP等程序语言的编程人员的安全意识不足,对程序参数输入等检查不严格等,会导致Web应用安全问题层出不穷。
常见网站漏洞
xysoul的专栏
04-18 6573
1. 注入漏洞  (1)sql注入。   (2 )xss ( cross site script) 跨站脚本攻击。   服务端:      echo $_GET['s'];   浏览器URL:    test.demo.com/index.php?s=(页面就会被注入js    脚本)  (3)命令注入漏洞。    通过GET提交的
常见WEB漏洞问题危害及修复建议
thatqier
10-11 5982
漏洞检测工具用语说明 一,高危漏洞 高危漏洞包括SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件网站存在包含SVN信息的文件网站存在Resin任意文件读取漏洞。 SQL注入漏洞网站程序忽略了对输入字符串中包含的SQL语句的检查,使得包含的SQL语句被数据库误认为是合法的SQL指令而运行,导致数据库中各种敏感数据被盗取、更改或删除。 XSS跨站脚
常见网站漏洞及解决办法
学习的约束力,提醒自己
09-13 4007
自己最近也刚开始学习网站安全的技术,以下有写的不对的地方还请高手多指点啊.   网站漏洞主要集中在动态网页中,静态网站基本不存在什么漏洞。 1.sql注入和跨站点脚本攻击 2.上传漏洞 3.文本编辑器漏洞 4.网站目录及密码安全 解决办法: 1.sql注入和跨站点脚本攻击:对这类漏洞来说就是用一些安全扫描工具进行检测,然后修复,以下是我个人总结的一点小知识: 对于asp网站: 一
web开发常见漏洞解决方案
04-11
web开发常见漏洞解决方案
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
### JAVA项目实践:URL存在的跨站漏洞与注入漏洞解决方案 #### 一、跨网站脚本(XSS)概述 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本攻击)是一种常见的安全漏洞攻击方式,尤其针对网站应用程序。...
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
09-19
本文将深入探讨*** Web应用程序中常见的网络安全漏洞,并提供相应的解决方案。 首先,跨站点脚本攻击(XSS)是Web应用中最普遍和最危险的漏洞之一。XSS攻击者通常会将恶意的JavaScript代码注入到网站页面中,当其他...
安全开发规范手册.docx
08-05
1. 背景 4 2. 编码安全 4 2.1. 输入验证 4 2.1.1. 概述 5 2.1.2. 白名单 5 2.1.3. 黑名单 5 2.1.4. 规范化 5 2.1.5. 净化 5 2.1.6. 合法性校验 6 2.1.7. 防范SQL注入 6 2.1.8. 文件校验 6 2.1.9. 访问控制 6 2.2. 输出验证 6 2.2.1. 概述 6 2.2.2. 编码场景 6 2.2.3. 净化场景 7 2.3. SQL注入 7 2.3.1. 概述 7 2.3.2. 参数化处理 7 2.3.3. 最小化授权 7 2.3.4. 敏感数据加密 7 2.3.5. 禁止错误回显 8 2.4. XSS跨站 8 2.4.1. 输入校验 8 2.4.2. 输出编码 8 2.5. XML注入 8 2.5.1. 输入校验 8 2.5.2. 输出编码 8 2.6. CSRF跨站请求伪造 8 2.6.1. Token使用 9 2.6.2. 二次验证 9 2.6.3. Referer验证 9 3. 逻辑安全 9 3.1. 身份验证 9 3.1.1. 概述 9 3.1.2. 提交凭证 9 3.1.3. 错误提示 9 3.1.4. 异常处理 10 3.1.5. 二次验证 10 3.1.6. 多因子验证 10 3.2. 短信验证 10 3.2.1. 验证码生成 10 3.2.2. 验证码限制 10 3.2.3. 安全提示 11 3.2.4. 凭证校验 11 3.3. 图灵测试 11 3.3.1. 验证码生成 11 3.3.2. 验证码使用 11 3.3.3. 验证码校验 11 3.4. 密码管理 12 3.4.1. 密码设置 12 3.4.2. 密码存储 12 3.4.3. 密码修改 12 3.4.4. 密码找回 12 3.4.5. 密码使用 12 3.5. 会话安全 13 3.5.1. 防止会话劫持 13 3.5.2. 会话标识符安全 13 3.5.3. Cookie安全设置 13 3.5.4. 防止CSRF攻击 13 3.5.5. 会话有效期 14 3.5.6. 会话注销 14 3.6. 访问控制 14 3.6.1. 跨权访问 14 3.6.2. 控制方法 14 3.6.3. 控制管理 14 3.6.4. 接口管理 15 3.6.5. 权限变更 15 3.7. 文件上传安全 15 3.7.1. 身份校验 15 3.7.2. 合法性校验 15 3.7.3. 存储环境设置 15 3.7.4. 隐藏文件路径 16 3.7.5. 文件访问设置 16 3.8. 接口安全 16 3.8.1. 网络限制 16 3.8.2. 身份认证 16 3.8.3. 完整性校验 16 3.8.4. 合法性校验 16 3.8.5. 可用性要求 17 3.8.6. 异常处理 17 4. 数据安全 17 4.1. 敏感信息 17 4.1.1. 敏感信息传输 17 4.1.2. 客户端保存 17 4.1.3. 服务端保存 17 4.1.4. 敏感信息维护 18 4.1.5. 敏感信息展示 18 4.2. 日志规范 18 4.2.1. 记录原则 18 4.2.2. 事件类型 18 4.2.3. 事件要求 18 4.2.4. 日志保护 19 4.3. 异常处理 19 4.3.1. 容错机制 19 4.3.2. 自定义错误信息 19 4.3.3. 隐藏用户信息 19 4.3.4. 隐藏系统信息 19 4.3.5. 异常状态恢复 20 4.3.6. 通信安全 20
软件系统安全开发指南
2302_79423711的博客
11-05 195
2.应用系统软件功能安全设计要求。5.应用系统数据库安全设计要求。1.应用系统架构安全设计要求。3.应用系统存储安全设计要求。4.应用系统通讯安全设计要求。6应用系统数据安全设计要求。《软件产品安全开发指南》
[图灵程序设计丛书].Web安全开发指南.pdf
weixin_33742618的博客
04-13 207
[图灵程序设计丛书].Web安全开发指南.pdf 下载链接 转载于:https://blog.51cto.com/4456998/2378273
十大常见web漏洞及防范
z099164的博客
02-20 2565
互联网和Web技术广泛使用,使Web应用安全所面临的挑战日益严峻,Web系统时时刻刻都在遭受各种攻击的威胁,在这种情况下,需要制定一个完整的Web攻击防御解决方案,通过安全的Web应用程序、Web服务器软件、Web防攻击设备共同配合,确保整个网站的安全。此外 ,Web攻击防御是一个长期持续的工作,随着Web技术的发展和更新,Web攻击手段也不断发展,针对这些最新的安全威胁,需要及时调整Web安全防护策略,确保Web攻击防御的主动性,使Web网站在一个安全的环境中为企业和客户服务。否则,网络流量顺利通过。
常见容易被黑客利用的网站漏洞有哪些
m0_66268916的博客
03-10 2258
网站是网络访问的基本入口,随着互联网的发展越来越快,网站的弊端就逐步呈现,大大小小的漏洞,黑客通过这些漏洞网站发起攻击,往往造成的后果不堪设想。下面一起认识一下吧 一、SQL注入漏洞 SQL是网站存在最多也是最常见漏洞,黑客可以利用该漏洞得到管理员的权限,在网站上挂木马和各种恶意程序或者直接控制服务器。 二、XSS跨站脚本攻击漏洞 通过网站开发留下的漏洞,注入恶意指令代码到网站,使用户加载并执行攻击者恶意制造的网页程序。CSRF跨站点请求伪造,跟XSS攻击一样,存在巨大的危害,攻击者通过伪造用户的.
网站10大常见安全漏洞解决方案
liuhyusb的博客
04-01 1074
一般来说牛逼点的地方都会通过安全设备来确保网络环境的安全,所以之前我们也都认为程序员不需要过多的考虑网站安全问题。实际上随着做了几个事业单位的网站之后,也逐渐发现有些方面还是需要程序员注意的。几乎每一个网站后台开发人员都听到的一个词,并且都很敏感,但是不知道是什么原因造成的很多程序员却在实际开发过程中经常忽视这个问题。前段时间部门一位新同事,据说是5年工作经验,在对他的代码做评审时,我们发现所有的DAO层实现都是直接拼接SQL和参数,总监多次提醒他这个问题,但他也没有发现,直到总监说出SQL注入这个词。
安全开发手册(初稿)
Simplicity is more complicated than you think
07-29 808
  动易安全开发手册 安全开发手册(初稿) 目录 一、    输入验证    3 1.    什么是输入    3 2.    输入验证的必要性    3 3.    输入验证技术    3 3.1 主要防御方式    3 3.2 辅助防御方式:    4 二、    输出编码    6 1.    输出的种类    6 2.    输出编码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值