SQL注入、XSS和CSRF的解释与防范

最新推荐文章于 2022-05-04 10:46:45 发布
最新推荐文章于 2022-05-04 10:46:45 发布
阅读量400 收藏 1
点赞数
分类专栏: SQL注入 CSRF XSS 文章标签: SQL注入 CSRF XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongdonggegelovezcj/article/details/100665593
版权
SQL注入 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
CSRF
1 篇文章 0 订阅
订阅专栏
XSS
1 篇文章 0 订阅
订阅专栏

SQL注入、XSS和CSRF这三个名词,相信大家都不陌生,一下是对这三名词的解释与防范。
一、SQL注入

  1. SQL注入是属于注入式攻击,这种攻击是因为在项目中没有将代码与数据(比如用户敏感数据)隔离,在读取数据的时候,错误的将数据作为代码的一部分执行而导致的。

    典型的例子就是当对SQL语句进行字符串拼接的时候,直接使用未转义的用户输入内容作为变量。这时,只要在sql语句的中间做修改,比如加上drop、delete等关键字,执行之后后果不堪设想。

    说到这里,那么该怎么处理这种情况呢?三个方面:

    1、过滤用户输入参数中的特殊字符,降低风险。

    2、禁止通过字符串拼接sql语句,要严格使用参数绑定来传入参数。

    3、合理使用 数据库 框架提供的机制。就比如Mybatis提供的传入参数的方式
    #{},禁止使用${},后者相当于是字符串拼接sql,要使用参数化的语句。

    总结下,就是要正确使用参数化绑定sql变量。
    二、XSS
    XSS:跨站脚本攻击,Cross-Site Scripting,为了和前端的css避免重名,简称为XSS,是指通过技术手段,向正常用户请求的 HTML 页面中插入恶意脚本,执行。

这种攻击主要是用于信息窃取和破坏等目的。比如2011年的微博XSS攻击事件,攻击者利用了微博发布功能中未对action-data漏洞做有效的过滤,在发布微博信息的时候带上了包含攻击脚本的URL,用户访问就会加载恶意脚本,导致大量用户被攻击。关于防范XSS上,主要就是通过对用户输入的数据做过滤或者是转义,可以使用框架提供的 工具 类HtmlUtil。另外前端在浏览器展示数据的时候,要使用安全的API展示数据。比如使用innerText而不是innerHTML。

三、CSRF
跨站请求伪造,在用户并不知情的情况下,冒充用户发送请求,在当前已经登录的web网站上执行恶意操作,比如恶意发帖,修改密码等。

大致来看,与XSS有重合的地方,前者是黑客盗用用户浏览器中的登录信息,冒充用户去执行操作。后者是在正常用户请求的HTML中放入恶意代码,

XSS问题出在用户数据没有转义,过滤;CSRF问题出现在HTTP接口没有防范不守信用的调用。

防范CSRF的漏洞方式:

1、CSRF Token验证,利用浏览器的同源限制,在HTTP接口执行前验证Cookie中的Token,验证通过才会继续执行请求。

2、人机交互,例如短信验证码、界面的滑块。

北极之狼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全测试(sql注入xsscsrf
chensi16114的博客
06-19 2317
浅谈Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF前言:首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是:“知道有这么一回事,编程时自然有所注意”。目...
XSSCSRFSQL注入攻击及防御
HZ___ZH的博客
12-11 524
一.XSS 1.什么是XSS XSS 攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并进行操作。 窃取Cookie。 监听用户行为,比如输入账号密码后直接发送到黑客服务器。 修改 DOM 伪造登录表单。 在页面中生成浮窗广告。 2.XSS 攻击的实现有三种方式——存储型、反射型和文档型 存储型 存储型的 XSS 将脚本存储到了服务端的数据库,然后在客户端执行这些脚本,从而达到攻击的效果。 例如:留言评论区提交一段脚本代码 反射型 反射型XSS指的是恶意脚本作为网
让你彻底了解SQL注入XSSCSRF
java技术情报局
02-24 580
相信大家在各种技术文章都看到过SQL注入XSSCSRF这三个名词,但是我觉得有一部分人可能并不清楚这三个词的真正含义。接下来,我就说下这三个名词的含义,希望对大家能有所帮助。 SQL注入 SQL注入是属于注入式攻击,这种攻击是因为在项目中没有将代码与数据(比如用户敏感数据)隔离,在读取数据的时候,错误的将数据作为代码的一部分执行而导致的。 典型的例子就是当对SQL语句进行字符串拼接的时候...
xss,csrf,SQL注入
python小霸王
02-28 1006
一、Xss 1、定义:跨站脚步攻击,过滤用户表单提交的数据 2、防范措施:        a.使用PHP内置函数:htmlspecialchars(),strip_tags,trim,addslashes。         b.PHP所有打印的语句如echo,print等,在打印前都要使用htmlentities() 进行过滤,           这样可以防止X
sql注入,xxs攻击和csrf攻击
weixin_40428902的博客
11-24 596
所谓防范sql注入的原则就是:永远不能相信所面对的用户                 原因:因为在众多的用户中总有一个是存在想搞垮你网站的人,      1.用户在提交表单的时候我们如果若有框架的作为基础,可以写一个校验类,设置用户提交的信息,或者在原生php的mysql语句插入前做好数据类型的判断以及相关的检测,不给用户插入空值或者达到损害数据库的机会 在larval框架中我们可以定义一...
Yii框架防止sql注入xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入xss攻击与csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
java web Xsssql注入过滤器.zip
04-22
总之,这个项目提供了预防XSSSQL注入的实例,对于学习如何在Spring Boot应用中实现安全防护非常有帮助。开发者可以通过研究项目源码,了解如何自定义过滤器、配置安全策略以及利用Spring Boot的安全特性,提升自己...
360提供的php防sql注入代码修改类
05-02
本文将深入探讨360提供的PHP防SQL注入代码修改类,以及如何通过此类来防范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
SQL注入和跨站点脚本
04-08
总之,理解和防范SQL注入XSS对于任何Web开发者来说都是至关重要的,因为它们直接影响着应用程序的安全性和用户数据的保护。通过理解这两种攻击的工作原理并采取相应的防御措施,可以显著降低被攻击的风险。
webProject:具有XSSSQL注入和Croos站点请求伪造的跨站点脚本
03-04
在IT安全领域,Web应用程序常常面临多种威胁,其中包括SQL注入XSS(跨站脚本)和CSRF(跨站请求伪造)。这个名为"webProject"的项目显然旨在模拟这些常见漏洞,帮助开发者和安全研究人员了解它们的工作原理,以及...
详解XSS攻击、SQL注入攻击、CSRF攻击
hello
11-26 1683
1、xss攻击 1.1 什么是xss攻击 XSS全称cross-site scripting(跨站点脚本),是当前 web 应用中最危险和最普遍的漏洞之一。攻击者向网页中注入恶意脚本,当用户浏览网页时,脚本就会执行,进而影响用户,比如关不完的网站、盗取用户的 cookie 信息从而伪装成用户去操作,携带木马等等。 1.2 xss分类 反射型XSS(非持久性跨站攻击) 存储型XSS(持久性跨站攻击) DOM Based XSS(基于 dom 的跨站点脚本攻击) 1.2.1 反射型XSS(非持久性跨
xsssql注入csrf防御
qq_36173194的博客
04-12 388
简单总结一下: xss:跨站脚本攻击,通过前端input将js脚本注入到后台 sql注入:将恶意的sql命令注入到后台数据库引擎执行 csrf:跨站请求伪造,以用户身份在攻击页面对目标网站发起伪造用户操作的请求 其中xsssql注入可以通过拦截请求并进行特殊字符过滤来防御,而csrf需要进行referer检测和token校验进行防御,如果只做了referer检测,在实际的第三方机构检测中...
浅析:XSS攻击、SQL注入攻击和CSRF攻击
象在舞的技术专栏
08-11 1077
1、XSS(Cross Site Script)攻击    跨站脚本攻击,是在用户浏览网页时向用户浏览器中执行恶意脚本的攻击方式。    跨站脚本攻击分有两种形式:反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式)和持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面
xss 和 crsf
08-10 300
crsf 攻击(CSRF(Cross-site request forgery),中文名称:跨站请求伪造) CSRF攻击原理 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A...
sql注入csrf
antaidi1217的博客
03-29 228
sql注入产生的原因?又如何防御sql注入SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 也...
如何防止SQL注入XSS攻击和CSRF攻击
weixin_37657720的博客
02-23 2174
        SQL注入:mysqli_real_escape_string()转义关键字符;         XSS攻击:alert把一些cookie信息打印出来;过滤掉<>等关键字符串         CSRF攻击:跨站攻击。防止:token,验证码...
理解XSSCSRF攻击及防范措施
Delicia_Lani的博客
07-22 682
一,XSS理解: 比如在一个论坛中,发帖写一段拥有跨站请求功能的JavaScript脚本注入到一条帖子里,该JS代码有请求服务器的操作,然后有用户访问了这个帖子,这就算是中了XSS攻击了。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。有很多种方式进行 XSS 攻击,但它们的共同点为:将一些隐私数据像 cookie、session 发送...
web安全问题:SQL注入XSSCSRF
愤怒的小火柴人
05-04 969
对于一个前端网页,并不是运行起来,部署完了就大功告成了,因为,总有一些攻击手段会让你的网站崩坏。
XSSCSRFSQL注入
weixin_38230961的博客
12-26 385
1、检查变量数据类型和格式: 数据库里所有的id都是数字,那么就应该在SQL被执行前,检查确保变量id是int类型;如果是接受邮箱,那就应该检查并严格确保变量一定是邮箱的格式 2、过滤特殊符号 对于无法确定固定格式的变量,一定要进行特殊符号过滤或转义处理。用addslashes函数,它会在指定的预定义字符前添加反斜杠转义,这些预定义的字符是:单引号 (') 双引号 (") 反斜杠 (\) NUL...
Web安全入门:SQL注入XSSCSRF防范详解
SQL注入可能导致数据泄露、系统被操纵,防范措施包括使用参数化查询、限制数据库权限、对敏感信息进行加密以及前端验证和使用Web应用防火墙(WAF)。 2. XSS(跨站脚本攻击):XSS分为三种类型:反射型、存储型和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值