SQL注入、XSS和CSRF的解释与防范

最新推荐文章于 2021-10-10 17:31:29 发布
最新推荐文章于 2021-10-10 17:31:29 发布
阅读量400 收藏 1
点赞数
分类专栏: SQL注入 CSRF XSS 文章标签: SQL注入 CSRF XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongdonggegelovezcj/article/details/100665593
版权
SQL注入 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
CSRF
1 篇文章 0 订阅
订阅专栏
XSS
1 篇文章 0 订阅
订阅专栏

SQL注入、XSS和CSRF这三个名词,相信大家都不陌生,一下是对这三名词的解释与防范。
一、SQL注入

  1. SQL注入是属于注入式攻击,这种攻击是因为在项目中没有将代码与数据(比如用户敏感数据)隔离,在读取数据的时候,错误的将数据作为代码的一部分执行而导致的。

    典型的例子就是当对SQL语句进行字符串拼接的时候,直接使用未转义的用户输入内容作为变量。这时,只要在sql语句的中间做修改,比如加上drop、delete等关键字,执行之后后果不堪设想。

    说到这里,那么该怎么处理这种情况呢?三个方面:

    1、过滤用户输入参数中的特殊字符,降低风险。

    2、禁止通过字符串拼接sql语句,要严格使用参数绑定来传入参数。

    3、合理使用 数据库 框架提供的机制。就比如Mybatis提供的传入参数的方式
    #{},禁止使用${},后者相当于是字符串拼接sql,要使用参数化的语句。

    总结下,就是要正确使用参数化绑定sql变量。
    二、XSS
    XSS:跨站脚本攻击,Cross-Site Scripting,为了和前端的css避免重名,简称为XSS,是指通过技术手段,向正常用户请求的 HTML 页面中插入恶意脚本,执行。

这种攻击主要是用于信息窃取和破坏等目的。比如2011年的微博XSS攻击事件,攻击者利用了微博发布功能中未对action-data漏洞做有效的过滤,在发布微博信息的时候带上了包含攻击脚本的URL,用户访问就会加载恶意脚本,导致大量用户被攻击。关于防范XSS上,主要就是通过对用户输入的数据做过滤或者是转义,可以使用框架提供的 工具 类HtmlUtil。另外前端在浏览器展示数据的时候,要使用安全的API展示数据。比如使用innerText而不是innerHTML。

三、CSRF
跨站请求伪造,在用户并不知情的情况下,冒充用户发送请求,在当前已经登录的web网站上执行恶意操作,比如恶意发帖,修改密码等。

大致来看,与XSS有重合的地方,前者是黑客盗用用户浏览器中的登录信息,冒充用户去执行操作。后者是在正常用户请求的HTML中放入恶意代码,

XSS问题出在用户数据没有转义,过滤;CSRF问题出现在HTTP接口没有防范不守信用的调用。

防范CSRF的漏洞方式:

1、CSRF Token验证,利用浏览器的同源限制,在HTTP接口执行前验证Cookie中的Token,验证通过才会继续执行请求。

2、人机交互,例如短信验证码、界面的滑块。

北极之狼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Yii框架防止sql注入xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入xss攻击与csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
CSRFXSSSQL注入、DDOS攻击、时序攻击分别是什么以及怎么防范
最新发布
yang_ldgd的博客
09-15 1068
CSRFXSSSQL注入、DDOS攻击、时序攻击分别是什么以及怎么防范
PHP 预防CSRFXSSSQL注入攻击
云博客_资源宝分享
10-10 1509
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
SQL 注入、XSS 攻击、CSRF 攻击
weixin_33910434的博客
09-22 1184
SQL 注入、XSS 攻击、CSRF 攻击 SQL 注入 什么是 SQL 注入 SQL 注入,顾名思义就是通过注入 SQL 命令来进行攻击,更确切地说攻击者把 SQL 命令插入到 web 表单或请求参数的查询字符串里面提交给服务器,从而让服务器执行编写的恶意的 SQL 命令。 对于 web 开发者来说,SQL 注入已然是非常熟悉的,而且 SQL 注入已经生存了 10 多...
常见web安全问题,SQL注入XSSCSRF,基本原理以及如何防御
资料qun832218493
04-10 5508
1.SQL注入 原理: 1).SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字元为不同命 令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式) 2).SQL命令对于传入的字符串参数是用单引号字元所包起来。(但连续2个单引 号字元,在SQL资料库中,则视为字串中的一个单引号字元) 3).SQL命令中,可以注入注解 预防: 1).在设计应用程序时,完全...
如何防止SQL注入XSS攻击和CSRF攻击
weixin_37657720的博客
02-23 2171
        SQL注入:mysqli_real_escape_string()转义关键字符;         XSS攻击:alert把一些cookie信息打印出来;过滤掉<>等关键字符串         CSRF攻击:跨站攻击。防止:token,验证码...
java web Xsssql注入过滤器.zip
04-22
总之,这个项目提供了预防XSSSQL注入的实例,对于学习如何在Spring Boot应用中实现安全防护非常有帮助。开发者可以通过研究项目源码,了解如何自定义过滤器、配置安全策略以及利用Spring Boot的安全特性,提升自己...
360提供的php防sql注入代码修改类
05-02
本文将深入探讨360提供的PHP防SQL注入代码修改类,以及如何通过此类来防范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
SQL注入和跨站点脚本
04-08
总之,理解和防范SQL注入XSS对于任何Web开发者来说都是至关重要的,因为它们直接影响着应用程序的安全性和用户数据的保护。通过理解这两种攻击的工作原理并采取相应的防御措施,可以显著降低被攻击的风险。
webProject:具有XSSSQL注入和Croos站点请求伪造的跨站点脚本
03-04
在IT安全领域,Web应用程序常常面临多种威胁,其中包括SQL注入XSS(跨站脚本)和CSRF(跨站请求伪造)。这个名为"webProject"的项目显然旨在模拟这些常见漏洞,帮助开发者和安全研究人员了解它们的工作原理,以及...
浅析:XSS攻击、SQL注入攻击和CSRF攻击
象在舞的技术专栏
08-11 1076
1、XSS(Cross Site Script)攻击    跨站脚本攻击,是在用户浏览网页时向用户浏览器中执行恶意脚本的攻击方式。    跨站脚本攻击分有两种形式:反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式)和持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面
详解Web安全攻防战(DoS攻击、CSRFXSSSQL注入
五撸超人的博客
03-31 3179
       之前学校做的项目都没有像样地考虑过安全方面的问题。今天复习面试的时候看到Web安全部分,学习并总结一下。(PS: Web安全几乎是大厂面试必问的问题,想进大厂的同学注意啦。) 前言        用户信息泄露、网站被黑甚至网银被盗用的事件屡见不...
Web站点如何防范XSSCSRFSQL注入攻击
逸尘的专栏
05-29 5895
XSS跨站脚本攻击 XSS跨站脚本攻击指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。 如何防止XSS跨站脚本攻击: 原则:不相信用户输入的数据 将重要的cookie标记为http only,这样的话Javascript 中的d...
XSSCSRF详解
Sylon的博客
06-24 2786
XSSCSRF详解 随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。 黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则...
CSRF, XSS, Sql注入原理和处理方案
weixin_33701564的博客
12-02 513
CSRF 含义 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSR...
XSS,CRSF,sql三者的概念,以及如何防止其注入,PHP参数过滤
07-23 316
1.什么是XSS攻击防范?如何防止XSS攻击?如何过滤用户输入? (1)什么是XSS攻击防范?如何防止XSS攻击? https://blog.csdn.net/loophome/article/details/53896012 (2)如何过滤用户输入 https://blog.csdn.net/come_on_air/article/details/54342896 2.php 参数过滤...
常见web攻击(sql注入,xss攻击,csrf攻击)
pzl_pzl的博客
06-25 2714
sql注入攻击危害方式:通过表单提交加入特殊字符 如:' OR 1=1#'防范:用django的ORM,就大可不必考虑这个问题,   如果自己写,要用正则和其他方式进行过滤xss(Cross Site Scripting)跨站脚本攻击危害:方式:防范:1, 首先要对用户输入的地方和变量,仔细检查长度和对" <" ," >" ." ' 等字符进行过滤2,避免直接在cookie中泄露用户隐...
sql注入,xxs攻击和csrf攻击
weixin_40428902的博客
11-24 594
所谓防范sql注入的原则就是:永远不能相信所面对的用户                 原因:因为在众多的用户中总有一个是存在想搞垮你网站的人,      1.用户在提交表单的时候我们如果若有框架的作为基础,可以写一个校验类,设置用户提交的信息,或者在原生php的mysql语句插入前做好数据类型的判断以及相关的检测,不给用户插入空值或者达到损害数据库的机会 在larval框架中我们可以定义一...
Web安全入门:SQL注入XSSCSRF防范详解
SQL注入可能导致数据泄露、系统被操纵,防范措施包括使用参数化查询、限制数据库权限、对敏感信息进行加密以及前端验证和使用Web应用防火墙(WAF)。 2. XSS(跨站脚本攻击):XSS分为三种类型:反射型、存储型和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值