web开发安全

已于 2022-02-27 15:36:43 修改
阅读量277 收藏
点赞数
文章标签: java web安全 XSS CSRF 越权
于 2021-07-18 16:29:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gentlezuo/article/details/118614631
版权

文章目录

web开发安全问题

越权

越权是指操作主体能够访问逾越期权限的资源。比如A操作了B的订单,非管理者查看了管理者才能访问的数据。
越权可以分为水平越权和垂直越权。

水平越权

水平越权又被称之为数据越权,如上述所说的A操作了B的订单数据。

案例

如下所示,攻击者可以取消任意一个订单

	cancelOrderByOrderId(String orderId){
        updateStatusByOrderId(orderId);
    }
防御

在访问前先进行身份验证,A所操作的数据是否是A的数据。如下所示

	cancelOrderByOrderId(String orderId) {
        Long userId = getUserIdByCookie();
        Order order = queryOrderByOrderId(orderId);
        if (order != null && order.getUserId().equeals(userId)) {
            updateStatusByOrderId(orderId);
        } else {
            //return null 或者抛出异常
        }

垂直越权

垂直越权又被称之为功能越权,例如员工访问了老板才能访问的功能。
解决方法:在代码逻辑中检查用户的角色,确保该角色拥有此项权限。

XSS

跨站脚本攻击,Cross Site Script。是指攻击者在网页上注入恶意代码,并且让浏览器执行而达到攻击目的的手段。
它危害极大,可以获取用户Cookie,篡改页面,钓鱼攻击等等。
XSS可以分为三类

持久型攻击(持久型攻击)

杀伤力最大的一种,它将恶意代码存储到服务器,只要有用户访问了这个数据,就会执行恶意代码,进而攻击。
例如,将恶意代码上传到论坛的发言中,每一个访问者都会中招。

案例

在一个论坛上输入 </div><script>alert(1)</script>,它将存储到服务端,如果前后端没有防范XSS的话,每一个访问你帖子的人都会弹出一个弹窗。

反射型攻击

反射性攻击是指攻击者实时注入恶意代码,但不会存储到服务端。

案例

一个搜索页面会提供一个搜素框,且会将用户的输入最终输出到页面。因此可以在搜索框中输入一段js代码进行攻击。

DOM型攻击

算是一种反射型跨站脚本攻的特例,利用动态修改DOM文档的能力实时注入恶意代码进行攻击。

防御

对用户的输入进行过滤转码,将特殊字符转义

  1. 将要插入html代码块中的进行html转义
  2. 将要插入js代码块中的进行js转义
  3. 将要插入到css中的进行css转义
  4. jsonp返回格式的数据,要保证响应的Content-Type为 application/json,避免text/html

设置HttpOnly

CSP(Content-Security-Policy),内容安全策略,是浏览器与跨站脚本攻击抗争的产物,其提供一个额外的安全层。

CSRF

CSRF 跨站点请求伪造(Cross—Site Request Forgery) 是指攻击者在控制的页面伪造请求,向服务端发送请求而到达攻击目的的手段。

案例

某购物网站A取消订单的请求https://www.xxx.com/shop/cancelorder?activityid=y

  1. 被攻击者先登录了网站A,网站A在xxx这个域种下了Cookie。
  2. 被攻击者不小心访问了攻击者控制的网站B,且在B网站中会执行https://www.xxx.com/shop/cancelorder?activityid=y,因此在访问B网站时,攻击者伪造了请求,并向网站A的服务器发起了访问(带上了Cookie),取消了订单。

防御

  1. 验证请求Header中的Referer字段,如果Referer不是合法的,那么可以拒绝请求。该方法简单高效,但是黑客可以攻击浏览器修改Referer字段,用户也可能认为Referer会泄露隐私,会拒绝提供Referer。
  2. 在发起请求时,带上动态生成的token。这个token可以在用户访问网站时生成,发起请求时再带上,这个token不能存储到Cookie中。

SQL注入

攻击者将非法的SQL注入到参数中,使得数据库执行非预期的SQL语句,造成攻击。本质上是程序与代码没有做到分离。

案例

一个网站提供了按照活动名称搜索活动记录的功能,后台的SQL语句:'SELECT * FROM activity WHERE name = ' + 'keyword';攻击者输入a or 1=1就能拿到所有的数据。

防御

  1. Java语言可以使用预编译功能,将参数与SQL语句分离
  2. Mybatis使用 ${param},不要使用#{param}
  3. 检查输入是否包含非法词

文件操作

  1. 任意文件上传:上传js代码造成XSS攻击,上传超大文件,上传木马
  2. 文件覆盖:用户上传时指定了上传的路径,覆盖服务器上的文件
  3. 文件下载:用户下载时指定了路径,下载服务器上的其他文件

案例

上传文件时,后端构造的路径/xxx/yyy/+param
上传文件时用户构造参数../../etc/profile,就有可能覆盖/etc/profile文件,下载攻击类似

防御

  1. 上传文件:限制文件格式、限制文件大小、限制”…/“等字符、对文件名重命名
  2. 下载文件:限制”…/“等字符

命令注入

类似SQL注入

CROS配置不当

cros是用来解决跨域问题的,但是在开发时,后端为了方便,会如下设置

response.setHeader("Access-Control-Allow-Origin", "*");

这会使得所有域的请求都会接受,因此可能会造成CRSF攻击。正确的做法是严格控制,使用白名单进行验证。

gentlezuo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
二十七、WEB 应用安全开发
jysf98746的博客
02-22 145
这么核心的东西在客户都是很容易查看的。虽然 JavaScript 可以混淆加密,但是最终他是需要被浏览器解析的,所以肯定是有一套固定的规范,黑客同样可以轻易解密。安全问题需要经验累积,软件开发作为一个团队协作的工作,大家经验水平不同,所以尽量在团队中分享安全开发的相关知识,技术 Leader 定期 Review 组员代码。黑客大部分利用的是软件的漏洞,所以我们要尽可能在开发的时候切断所有可能被利用的地方。重视安全最好的策略是将风险最大化,开发的时候要换位思考,如果我是黑客我是不是有办法绕过当前的限制。
Web开发安全基础知识
匆匆忙忙
03-24 1205
关于Web开发安全Web开发最基础的也是最容易忽略的。一旦忽视就很容造成很大的损失。 常见的Web安全方面主要是: 1. SQL Injection 2. XXS (cross-site scripting) 3. CSRF (cross-site request forgeries) 这是最常见的三种攻击手段。 SQL Injection SQL攻击(英语:SQL i...
(2023版)零基础入门Web安全,收藏这一篇就够了
m0_74914256的博客
03-27 2908
Web安全是指保护Web应用程序、Web服务器和Web浏览器免受各种网络攻击和恶意行为的方法和技术。随着越来越多的业务和活动转移到互联网上,Web安全成为越来越重要的问题。
cors安全完全指南
一个码农的笔记
09-15 5180
这篇文章翻译自:https://www.bedefended.com/papers/cors-security-guide 作者:Davide Danelon 译者:聂心明 译者博客:https://blog.csdn.net/niexinming 版本:1.0 - 2018年-七月 1. _介绍 这个指南收集关于cors所有的安全知识,从基本的到高级的,从攻击到防御 ...
Chrome CORS 安全策略解决方案
qq_42881675的博客
07-06 1593
谷歌 CORS 安全策略解决方案 针对莫能臣前端同事的日志。 问题 谷歌在 80 版本的时候使用了 HTTP 响应头属性 SameSite,它用于声明 Cookie 是否仅限于第一方或者同一站点上下文中。 简单地说,SameSite 决定了跨域时 Cookie 是否能够存储。 按理说这是后端的事,让后端加响应头就行了,但是 这个属性在非 https 协议时是强制开启的。 这就很麻烦了,线下搞个 https 成本太高。 Chrome 在 80 ~ 91 版本时,可以修改浏览器配置关闭此功能。91 版本后浏览器
CORS(跨域资源共享)漏洞解决方法
BHSZZY的博客
07-23 2万+
最近,测试环境上的项目被360测试人员检测出来有一个CORS漏洞,以下记录下漏洞问题与解决方法。 一、低危漏洞:CORS漏洞问题 测试人员访问某个url,将请求头中的Origin字段修改为任意值,结果仍然能获得正确的响应报文,就说明有CORS漏洞。 当CORS的设置不正确时,就会带来安全问题;当响应头中的Access-Control-Allow-Origin设置为null或*时,表示信任任何域,这时候就可能引入安全问题。 修复方法是合理配置CORS,判断Origin是否合法;具体说就是不让在nginx或t
web安全
一个前端攻城狮的成长之路
11-21 300
web安全 几种攻击方式 ■拒绝服务(DoS):通过请求,对服务器进行轰击使服务器不可用。 ■社会工程:欺骗用户,使其自愿对网站的安全性做出让步(如:钓鱼)。 ■权限升级:使代码在“特权”环境下运行(如:“root”) ■信息泄露:允许攻击者查看其不应该看到的数据、文件等。 ■中间人:在网络中放置恶意机器并使用它来拦截流量。 ■会话劫持:窃取另一个用户的会话cookie并伪装成那个用户。 ■跨站点脚本( XSS )或HTML注入:将恶意HTML或 JavaScript内容插入到网页中。 ■SQL 注入:插入
web开发安全入门
02-07
Web开发常见安全问题场景及解决方案
web开发安全讲解
12-19
本资料包“web开发安全讲解”提供了相关的学习资源,旨在帮助开发者们掌握必要的安全防护措施,避免在开发过程中掉入安全陷阱。 1. XSS(跨站脚本攻击):XSSWeb应用程序中常见的一种安全漏洞,它允许攻击者向...
web开发安全技术培训教程.rar
09-15
Web开发安全技术是现代互联网应用开发中不可或缺的重要一环,它涵盖了从预防SQL注入、XSS跨站脚本攻击到防止CSRF(跨站请求伪造)等多种威胁的安全策略。本培训教程将深入探讨这些关键领域,帮助开发者构建更加安全...
web开发必须注意的9大原则
04-26
安全开发需要注意的9大原则,为了系统的安全,我们在开发过程中必须注意系统的安全开发原则,减小开发出来的系统被攻击的风险。9大安全原则分别是1web部署原则、身份认证原则、会话管理原则、权限管理原则、敏感数据保护原则、安全日志原则、输入校检原则、输出编码原则
Web开发安全规范
03-05
开发web应用的一些安全规则整理成一份安全规范,便于检查web开发
Web开发安全
12-21
Web开发安全
Web安全主要包括哪些方面的安全?
程序员小麦的博客
06-25 747
如果有从事过网站开发方面经验的职场人,应该是知道网站安全这一点是非常重要的,在构建网站时就要考虑到,本期小编就为大家详细的介绍一下Web安全主要包括哪些方面的安全?
web安全(入门篇)
热门推荐
webbc的博客
07-25 6万+
web安全的概念太过于宽泛,博主自知了解的并不多,还需要继续学习。但是又想给今天的学习进行总结,所以今天特分享一篇关于web安全的文章,希望对初次遇到web安全问题的同学提供帮助。SQL注入 数据库表出现场景 当开发登录模块的时候,如果我们使用是mysql操作php,并非使用mysqli、PDO等;当查询用户是否存在的SQL是这样写的,select * from user where name =
Web 开发常见安全问题
永不放弃的博客
03-01 1万+
不是所有 Web 开发者都有安全的概念,甚至可能某些安全漏洞从来都没听说过。这就是这篇科普文章的存在意义,希望 Web 开发者在开发时能依此逐条检查代码中的安全问题。 注:服务器运维相关的安全注意事项不在本文之列 这篇文章主要包含以下内容: 前端安全 XSS 漏洞CSRF 漏洞 后端安全 SQL 注入漏洞权限控制漏洞SESSION 与 COOKIEIP
WEB安全问题
weixin_30632089的博客
03-20 878
Web系统必须采取措施降低Web应用安全风险。 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁。 2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作...
配置Java开发环境
最新发布
Broken_x的博客
07-10 1435
Java开发环境配置
WEB开发安全漏洞修复方案 (2).pdf
07-14
该文档是关于WEB开发安全漏洞修复方案的详细指南,针对安徽移动FSDP系统实施的安全扫描发现的问题进行了深入分析和解决方案。文档主要关注以下几个关键的安全漏洞: 1. **会话标识未更新**: - 攻击者利用会话固定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值