web安全之CSRF、XSS、sql注入

最新推荐文章于 2023-09-28 22:29:23 发布
最新推荐文章于 2023-09-28 22:29:23 发布
阅读量281 收藏
点赞数 1
文章标签: web安全
原文链接:https://blog.csdn.net/echo_laodong/article/details/79254552
版权

XSS攻击:跨站脚本攻击 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌

       攻击者一般通过script标签对网站注入一些可执行的代码,这样就可以很轻松的获取到用户的一些信息。预防措施:strip_tags() 函数,过滤掉输入、输出里面的恶意标签和使用htmlentities()函数把标签字符串转换成html实体。

CSRF攻击 :跨站请求伪造攻击 ,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性

攻击者一般会使用吸引人的图片去引导用户点击进去他设定好的全套,然后你刚登录的A网站没有关闭,这时候攻击者会利用JS事件去模拟用户请求A网站信息,从而就得到了目的。预防措施:为表单提交都加上自己定义好的token然后加密好,后台也一样的规则然后进行对比。 

 

sql注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

~上图因为没有做预防措施所以导致直接登录成功!! 

总结:1、对用户输入的内容要时刻保持警惕。

2、只有客户端的验证等于没有验证。
 3、永远不要把服务器错误信息暴露给用户
预防措施:把一些sql语句进行过滤,比如delete update insert select * 或者使用PDO占位符进行转义。

helloworldpilipala
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,文章会分享出整个Filter文件包,包含四个java文件: 5.1,public class CrosXssFilter implements Filter 5.2,public class CrosXssFilterConfig implements WebMvcConfigurer 5.3,public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter 5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper 6,服务器白名单校验的java文件: 6.1,public class ServerWhiteListUtil 7,如果不要需要使用服务器白名单功能,那么,注释CrosXssFilter.java 文件的36-39行文件代码即可 原文链接:https://blog.csdn.net/zlxls/article/details/107432468
SQL 登录注入脚本_常见web安全问题SQL注入XSSCSRF,基本原理以及如何防御...
weixin_39774491的博客
11-20 223
1.SQL注入原理:1).SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字元为不同命 令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式)2).SQL命令对于传入的字符串参数是用单引号字元所包起来。(但连续2个单引 号字元,在SQL资料库中,则视为字串中的一个单引号字元)3).SQL命令中,可以注入注解预防:1).在设计应用程序时,完全使用参数化查...
Java Web 安全:防御 XSS, CSRF 与 SQL 注入的最佳策略
最新发布
m0_57781768的博客
09-28 434
在我们探讨解决方案之前,首先了解一下常见的 Web 攻击有哪些是非常重要的。Web 攻击通常是指攻击者试图在 Web 应用程序中执行未授权的行为的行动。常见的 Web 攻击有:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和 SQL 注入。
web安全问题SQL注入XSSCSRF
愤怒的小火柴人
05-04 921
对于一个前端网页,并不是运行起来,部署完了就大功告成了,因为,总有一些攻击手段会让你的网站崩坏。
Spring MVC防御CSRFXSSSQL注入攻击
CHIKA2333的博客
07-30 562
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
预防XSS攻击和SQL注入XssFilter
05-19
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
PHP开发中常见的安全问题详解和解决方法(如Sql注入CSRFXss、CC等)
12-19
浅谈Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF 前言: 首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以...
3大Web安全漏洞防御详解:XSSCSRF、以及SQL注入解决方案
文章中资料均可获取,有需要请添加yunduoa2019即可
04-21 468
随着互联网的普及,网络安全变得越来越重要。Java等程序员需要掌握基本的web安全知识,防患于未然,下面列举一些常见的安全漏洞,以及对应的防御解决方案。 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 XSS漏洞 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用...
Web站点如何防范XSSCSRFSQL注入攻击
逸尘的专栏
05-29 5873
XSS跨站脚本攻击 XSS跨站脚本攻击指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。 如何防止XSS跨站脚本攻击: 原则:不相信用户输入的数据 将重要的cookie标记为http only,这样的话Javascript 中的d...
如何防止SQL注入XSS攻击和CSRF攻击
weixin_37657720的博客
02-23 2144
        SQL注入:mysqli_real_escape_string()转义关键字符;         XSS攻击:alert把一些cookie信息打印出来;过滤掉<>等关键字符串         CSRF攻击:跨站攻击。防止:token,验证码...
【SpringBoot学习】23、SpringBoot 防止SQL注入XSS攻击、CSRF/CROS恶意访问
Tellsea
03-18 3409
文章目录一、SQL注入问题(1)什么是SQL注入(2)防止SQL注入二、XSS攻击问题(1)什么是XSS攻击(2)防止XSS攻击三、CSRF/CROS恶意访问(1)什么是CSRF/CROS恶意访问(2)解决办法四、解决方案微信公众号 一、SQL注入问题 (1)什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,
详解Web安全攻防战(DoS攻击、CSRFXSSSQL注入
五撸超人的博客
03-31 3152
       之前学校做的项目都没有像样地考虑过安全方面的问题。今天复习面试的时候看到Web安全部分,学习并总结一下。(PS: Web安全几乎是大厂面试必问的问题,想进大厂的同学注意啦。) 前言        用户信息泄露、网站被黑甚至网银被盗用的事件屡见不...
常见web安全问题SQL注入XSSCSRF,基本原理以及如何防御
资料qun832218493
04-10 5485
1.SQL注入 原理: 1).SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字元为不同命 令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式) 2).SQL命令对于传入的字符串参数是用单引号字元所包起来。(但连续2个单引 号字元,在SQL资料库中,则视为字串中的一个单引号字元) 3).SQL命令中,可以注入注解 预防: 1).在设计应用程序时,完全...
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 713
Web 安全领域中,XSSCSRF 是最常见的攻击方式。本文将会简单介绍 XSSCSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击...
web开发常见安全问题SQL注入XSS攻击、CSRF攻击)
热门推荐
star
04-16 1万+
web开发常见安全问题SQL注入XSS攻击、CSRF攻击)
csrf怎么获取 其他网站cookie_关于CSRF我能想到些什么
weixin_35216188的博客
12-22 2465
其实期末周已经抽不出身写梳理文章了,但是刚好遇上了安全课的期末作业,也就顺势梳理一下web安全的一些些知识。本来是打算写csrfxss的,但是好像做完答辩ppt,为了把csrf这个安全问题给我自己讲清楚已经花了五十页 ,于是就把标题改了,之前看过一个美团技术团队关于xss的文章写的很好的链接在这里。 (ps:因为没有专门做过相关的工作,这篇文章讲的并不是很深很实践得到的东西,只...
常见web攻击
TyrionJ的博客
02-14 163
常见web攻击 前端安全是前端体系的重要组成部分,本文列举了常见的web攻击方式,以及防御手段。 xss 什么是xss xss(Cross-Site Scripting) 跨站脚本攻击,由于网站自身存在漏洞,导致能运行非本站脚本,从而造成安全问题。比如服务端渲染使用了ejs,art-template等模板引擎对数据进行渲染时未对script 等脚本进行过滤,导致了加载外战脚本。 // art-te...
过滤特殊、不合法字符 防止sql注入
可控的事情要谨慎,不可控的事情要乐观。
04-16 1726
1.工具类 public class StringFilterUtil { // 过滤特殊字符 public static String StringFilter(String str){ String regEx="[`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:...
xsscsrfsql注入
07-28
XSS(跨站脚本攻击),CSRF(跨站请求伪造)和SQL注入是常见的Web安全漏洞。 XSS攻击是指攻击者通过在网页中注入恶意脚本,使得用户在浏览网页时执行这些脚本,从而获取用户的敏感信息或者进行其他恶意操作。为了防止XSS攻击,可以对用户输入的数据进行转义,比如将特殊字符进行转义,限制用户输入的数据类型,过滤掉可能包含恶意脚本的标签等措施。\[3\] CSRF攻击是指攻击者利用用户已经登录的身份,在用户不知情的情况下发送恶意请求,从而执行一些非法操作。为了防止CSRF攻击,可以使用CSRF令牌来验证请求的合法性,每次用户登录时都会轮换CSRF令牌,确保每个请求都携带有效的令牌。\[2\] SQL注入是指攻击者通过在Web表单递交或输入域名或页面请求的查询字符串中插入恶意的SQL命令,从而实现未授权访问数据库或者篡改数据库的操作。为了防止SQL注入,可以对用户输入的参数进行校验和过滤,使用参数化语句而不是拼接字符串的方式生成SQL语句,限制数据库连接的权限,检查数据存储类型等措施。\[1\] 综上所述,为了防止XSSCSRFSQL注入攻击,需要对用户输入的数据进行校验和过滤,使用安全的编程框架和技术,限制权限,加密重要信息等措施。 #### 引用[.reference_title] - *1* *3* [详解XSS攻击、SQL注入攻击、CSRF攻击](https://blog.csdn.net/zj420964597/article/details/110179161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [XSSCSRF、以及SQL注入](https://blog.csdn.net/weixin_34226182/article/details/94047120)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值