WEB安全:浅谈输入验证

最新推荐文章于 2022-05-06 21:30:48 发布
最新推荐文章于 2022-05-06 21:30:48 发布
阅读量1.1k 收藏
点赞数
文章标签: 系统安全 web安全 后端
原文链接:https://my.oschina.net/u/590983/blog/469358
版权

近期负责一个主站系统的Code Review,过程中排查了一些由于输入验证引起的安全漏洞,但遗憾的是遗漏了一个分支功能点,导致线上用户昵称可能存在被篡改的风险。打算总结分享一些安全方面的经常,所以有了这篇博客。

假设所有的用户输入都是攻击性的,所有的用户都具有恶意

如果理解这句话并能在开发时注意到这一点,关于输入验证的安全问题已经没有过多需要阐述的了。之前几次考虑过写一篇输入验证相关的文章而没有写,就是觉得这个问题的答案很简单:"所有用户输入都是恶意".不过这个简单的问题能玩出的花样实在很多,许多同事都中过踩过其中的雷.

一些原则

我不是专职的安全测试,一些关点还是从研发角度出发。如果想了解更详多的WEB安全可以看一下 OWASP 开发指导,包括了WEB开发中会涉及到的安全准则。

界定用户输入

http_log在一次HTTP请求中,由HTTP协议承载的所有信息都是用户输入。所以HTTP的头和体中的信息都是可以伪造的,比如Get/Post参数,Cookie,Referer,UserAgent等等. 应该假设这其中所有的元素都可能具有攻击性,需要对其做出必要的验证,程序不能以它们为依据,轻意做出与安全资源相关的访问决定.由于在开发面对更多的是GET/POST参数,往往会习惯性忽略header中的其它信息。

 

攻击影响范围attack_diagram

最低0.47元/天 解锁文章
chilabi1422
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全性测试:输入校验规则
执笏少埋 的专栏
03-12 1911
目录目录 等级过滤规则 低级过滤的字 中级过滤的字 高级过滤的字 等级过滤规则平台对所有用户提交内容进行输入验证,这些提交内容包括URL、查询关键字、post数据。平台第一步会校验URL,通过后会继续对post提交的所有数据进行校验。 校验的字(校验时会忽略大小写,系统编码为GBK)有:Javascript:、--、空白字and空白字、/**/and空白字、/**/and/**/、空
Java web生成验证码并输入验证
weixin_44519188的博客
08-08 271
验证码可以区分进行操作的是否为人为操作,一般常见用于登录、注册等,使用验证码可以防止有人恶意注册等操作。Java编写生成一个验证码图片的工具类,主要是用到Java绘图工具类。 封装一个生成随机验证码的静态方法,在servlet调用封装的方法。 private void checkCode(HttpServletRequest request, HttpServletResponse response) throws IOException { // 服务器通知浏览器不要缓存 response.s
WEB应用安全输入验证
RayChiu757374816的博客
01-09 3652
WEB2.0的普及,丰富了各类WEB产品。WEB交互能力的增强,也滋生出种类繁多的安全威胁,用户输入便成了万恶之源,不仅威胁用户信息安全,也给服务器、操作系统,甚至整个局域网带来灾难,因此,验证用户输入WEB应用必不可少的安全防范举措。 1 输入为何需要验证 输入验证一般基于两个方面的原因:一是为了保证业务功能的合理性,二是为了保证用户数据、应用程序及内部系统和网络的安全。 1
输入验证标准
weixin_34245169的博客
10-20 215
什么是输入输入指的是由环境产生的一种刺激,该刺激导致被测试的应用有所响应。 具体的表现形式有输入框(新增、修改、查询等)、上传、导入等。 输入可能会导致安全隐患,故需要建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误。 输入验证标准 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies)。 数据验证流程:一个好的web系统应该在IE端,s...
安全测试checklist-输入校验
天道酬勤
05-06 598
输入校验
Web安全防御浅谈
11-07
### Web安全防御浅谈 随着互联网的飞速发展,Web应用已经成为企业和个人不可或缺的一部分,但同时也面临着各种安全威胁。为了确保Web应用的安全性,开发者必须从设计之初就将安全因素考虑进去。本文将从几个关键...
浅谈web服务器的安全防护体系构建.docx
06-28
"浅谈web服务器的安全防护体系构建" 在本文中,我们将讨论 Web 服务器的安全防护体系构建。 Web 服务器是企业网络的核心组件之一,存储着大量的数据和信息,因此,构建一个安全、稳定、高效的 Web 服务器环境至关...
浅谈asp.net Forms身份验证详解
01-20
ASP.NET Forms身份验证Web应用程序中一种常见的用户身份验证机制,尤其适用于初学者。相比于将用户登录信息存储在Session中,Forms身份验证提供了更安全、更灵活的解决方案。本文将详细解析这一机制,并通过一个...
浅谈运用Java Web解决用户登录的安全问题.pdf
最新发布
01-01
浅谈运用Java Web解决用户登录的安全问题 在开发项目时,系统的安全问题是必须要考虑的。在 Java Web 中,运用 JSP 和 Servlet 技术可以很好的解决用户登录系统的身份验证和授权的安全问题。 1. 用户登录系统的...
浅谈php安全性需要注意的几点事项
10-25
1. 输入验证:对用户提交的所有数据进行验证,确保其合预期的格式,例如,使用`filter_var`函数检查电子邮件地址的格式,或使用正则表达式验证手机号码。 2. 避免使用`eval`函数:`eval`会将字串当作PHP代码...
如何进行Web应用的安全测试和输入校验
Rainman的专栏
10-22 4717
Web应用占主流的今天,主流的黑客也都把攻击的目标转向了Web应用,SQL Injection, XSS... 各种攻击技术层出不穷,但是苍蝇不叮无缝的蛋,这么多种攻击技术无非都是把有毒的东西送到了蛋的内部。所以说只要输入校验做的好就可以阻止90%-95%的攻击。如何做输入校验才能尽可能的弥补所有的缝呢?下面这几个注意事项或许可以帮你一些 1. 找到Web应用所有的输入点,找到所有的能接
Struts2 框架中输入验证的三种方式
qq_41910568的博客
02-14 1296
输入验证
用于文本框输入验证的类
熊猫窝
10-09 979
自己写的一个验证组件类,除ValidatorHelper.cs此文件内容外,其他均为原创 有不合理的地方欢迎大家指正!!!调用方式如下:/* Components.ValidatorComponents.ValidatorFunction 这是一个委托 * 可以实现调用自己定义的验证方法 * Components.ValidatorComponents.ValidatorFun
输入验证
wmm1287622736的博客
08-09 1572
1.输入验证 输入验证主要包括:数字输入验证、字输入验证输入长度验证、必填项验证和信息提示   1.数字输入验证:分别输入数字(正数、负数、零值、单精度、双精度)、字串、空白值、空值、临界数值。不合法的输入,系统给出必要的判断提示信息   2.字输入验证:分别输入单字节字、双字节字、大小写字、特殊字、空白值、空值。不合法的输入,系统给出必要的判断提示信息  
安全编程-安全输入验证
热门推荐
王浩的技术博客
10-17 1万+
在几乎所有安全的程序中,你的第一道防线就是检查你所接收到的每一条数据。如果你能不让恶意的数据进入你的程序,或者至少不在程序中处理它,你的程序在面对攻击时将更加健壮。在不得不接收输入,但是又不能相信输入的时候,最好的方法就是充分检测输入,并且确认输入的正确性,应当将输入限制在某些可接受的值范围内。   输入验证程序可分为2个主要部分:语法检查和语义检查。 语法检查主要检测输入的格式是否正确,其
WEB安全有关问题
Blablabla_的博客
02-02 2150
常见的针对web前端的攻击主要有: 1.跨站点脚本攻击(XSS) 概述:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(...
web应用安全输入处理与安全
weixin_42368489的博客
09-24 791
web应用的输入处理 web应用中的输入既由HTTP请求传入的信息,如GET,POST,Cookie等,web应用接收到这些值所作的处理。 输入处理就是只对输入值做如下处理: 检验字编码的有效性 必要时转换字编码(指http消息与程序内部使用的字编码不一致的情况下进行的处理) 检验参数字串的有效性(在页面显示处理函数对字编码的指定由所疏忽时) 检验字编码 php中使用 mb_che...
输入验证(转)
weixin_30244681的博客
11-28 517
输入验证 输入验证是一个很复杂的问题,并且是应用程序开发人员需要解决的首要问题。然而,正确的输入验证是防御目前应用程序攻击的最有效方法之一。正确的输入验证是防止 XSS、SQL 注入、缓冲区溢出和其他输入攻击的有效对策。 输入验证非常复杂,因为对于应用程序之间甚至应用程序内部的输入,其有效构成没有一个统一的答案。同样,对于恶意输入也没有一个统一的定义。更困难的是,应用程序对如...
Web测试详解:关键输入验证安全检查
Web测试方法是一门细致入微且关键的技能,它确保网站的性能、功能和安全性。本文主要围绕web应用的输入框进行深入探讨,包括字型、数值型和日期型输入框的测试策略。 1. 字输入框: - 验证类型:检查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值