常见web攻击的加固方法

最新推荐文章于 2024-05-25 12:44:01 发布
最新推荐文章于 2024-05-25 12:44:01 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 安全运维? 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hibari_18/article/details/107191960
版权

0x01 XSS
1.过滤特殊字符(XSS Filter)
过滤恶意标签+属性
(1)href伪协议

<a href=javascript:('/a/')>test</a>

(2)HTML新增标签

<math><maction xlink:href=><embed src=>

(3)利用DataUrl协议

<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">

2.使用实体化编码
(1)HTML编码

编码前	编码后
&		&amp
<		&lt;
>		&gt;&quot;&#x27; &apos;
/		&#x2F;

(2)Javascript编码

编码前	编码后
‘		\’;
“		\”;
\		\\;
/		\/;

3.Http Only
PHP下通过修改php.ini的session.cookie_httponly=true

0x02 CSRF
1.添加中间环节
(1)添加验证过程
在执行关键操作的时候,让用户进行二次确认或重新输入一次密码。
(2)添加验证码
2.对请求进行校验
(1)referer
(2)csrf token
添加一个有较强随机性,一次性的token进行校验。

0x03 SSRF
1.双向过滤用户端参数
黑名单限制如file、gopher等协议。
2.网络限制
对服务器能访问的内网地址及端口进行最小化限制。

0x04 SQL
1.参数过滤或编码
select、union、order by等sql查询函数。
‘、“、;、&等特殊符号。
2.预编译与参数绑定
(1)在客户端进行预编译和参数绑定
(2)在服务端进行预编译(存储过程),在客户端进行参数绑定
当绑定的参数是可选的字段时,例如表名称、列名称、排序方式等,而非用户输入的内容,是不可以使用参数绑定的。
3.白名单
对不可做参数绑定的,可限制输入内容为预先设置好的几个值,如果不是就返回错误。
ps:宽字节注入修复:1.将mysql_set_charset设置为gbk编码;2.character_set_client 设置为binary(二进制)。

0x05 文件上传
1.文件类型检测
(1)文件扩展名
推荐使用白名单方式。
(2)文件MIME类型
通过改Content-Type非常容易绕过。
2.文件内容检测
(1)文件头检测
图片马可绕过。
(2)图像二次渲染
通过对上传的图片进行二次渲染,调整大小,然后再采集图片输出为文件。
3.文件解析攻击
(1).htaccess
<FilesMatch “jpg”>SetHandler application/x-httpd-php#将jpg后缀的文件解析为php
仅对当前目录设置htaccess,不对网站下所有文件夹做设置。
(2)apache
a.php.txt.jpg->a.php
升级apache版本
(3)iis
a.asp;.jpg->a.asp
升级iis版本
(4)php
nginx,iis7.0/7.5
a.jpg/b.php->a.php
升级php版本

0x06 文件包含攻击
1.检测被包含文件的后缀
对包含的文件后缀进行黑白名单校验。
2.检测被包含文件的目录
利用配置文件中对用户可访问的目录进行限制。php open_base_dir
3.升级PHP版本
all_url_include=off;

0x07 命令执行攻击
1.PHP环境下的命令执行
在php.ini中通过设置disable_functions()禁用exec()、system()、shell_exec()等危险函数。
2.框架类的命令执行
如struts2,thinkphp,建议升级版本。
(struts2目前受影响是2.3-2.3.24,2.5-2.5.16,安全一些的是2.3.35或2.5.17以上。18年给的漏洞修复建议,仅供参考。)
3.中间件类的命令执行
如Weblogic、Jboss,及时打补丁。

0x08 明文传输
对传输的用户名、密码进行加密。(MD5)

0x09 暴力破解
1.添加强度较高的验证码,不易被破解。
2.修改密码设置规则,提高用户的密码强度。
3.同一账号登陆次数锁定,生成锁定日志。
4.定期排查弱口令。

0x10 水平越权&垂直越权
在参数可控的情况下,通过session验证个人身份是否与用户修改后的代表身份的信息匹配,若不匹配禁止访问。

0x11 弱验证码
1.更改验证码的类型,由数字转为点击或拖动类型的图形验证码。
2.设置验证码的刷新频率,保证每一次提交后验证码刷新一次。
3.限制验证码的有效期,半分钟或一分钟后自动刷新。

0x12 敏感信息泄露
屏蔽网站后台、中间件后台、网站或程序报错信息,删除备份文件、测试文件。
网站的Banner(服务器版本、端口、开发语言)信息泄露,参考:
https://blog.csdn.net/hibari_18/article/details/104904387

0x13 XML注入、XPATH注入、LDAP注入、JPA注入
1.使用标准的xml解析库进行xml文件的写操作。
2.对插入的数据进行编码、过滤。
3.JPA可通过参数绑定的方式防止注入的产生。

hibari_18
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全漏洞加固手册
06-22
web安全漏洞加固手册
web安全加固
qq_45646177的博客
05-07 1155
目录 web漏洞 web安全加固 SQL注入防范 命令注入防范 上传文件防范 web漏洞 WEB漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞。如果网站存在WEB漏洞被人利用,其可以轻易控制整个网站,并可进一步提权获取网站服务器权限,控制整个服务器。常见的漏洞利用有密码登录绕过,命令注入,跨站请求伪造,文件上传,SQL注入,跨站反击等。 web安全加固 在了解到漏洞之后我们可以对我们的网站进行安全加固 SQL注入防范 手下我们可以部署一个bl
webshell工具-冰蝎流量特征和加密方式
最新发布
qq_40898302的博客
05-25 861
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
冰蝎-Webshell管理工具
weixin_66717977的博客
06-30 6990
冰蝎超详解,新手食用
冰歇webshell初探
qq_69775412的博客
04-22 5514
木马样本: <?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
SQL注入和XSS攻击加固
不忘初心,护天下安全!
12-13 2207
SQL注入 定义 通过把恶意SQL命令插入Web表单提交,最终达到欺骗服务器执行恶意的SQL命令。 如在用户名输入框输入绕过密码验证的SQL语句、内容输入框里输入内容的同时输入删除所有内容的SQL语句。 注入过程 判断可被注入?-&gt;数据库种类-&gt;猜表名-&gt;猜字段名-&gt;猜字段值 1.恶意的SQL语句绕过 绕过密码:SELECT * FROM 用户表 WHERE ...
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
lza20001103的博客
08-13 4799
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
Web安全-Behinder(冰蝎)Webshell管理工具使用
Boom!脑洞大爆炸的博客
07-03 3664
Web安全-Behinder(冰蝎)Webshell管理工具使用
018-web应用服务器安全加固.pptx
10-22
本讲座主要涵盖了Apache、Nginx和Tomcat这三种常见Web应用服务器的安全加固方法。 ### Apache服务器安全加固 #### 1. 账号设置 为了安全起见,Apache服务器应以非特权用户身份运行,例如创建一个名为`apache`的...
Web漏洞检测及修复方案.doc
05-17
认证和授权类漏洞是 Web 应用程序中最常见的漏洞之一,包括密码明文传输、用户名可枚举、暴力攻击、会话标识未更新、未授权访问、文件上传漏洞、任意文件下载等。这些漏洞可能会导致未经授权的访问、数据泄露、身份...
中间件基础与加固
02-28
SQL注入(SQLi)是一种常见的网络安全威胁,攻击者通过恶意SQL代码利用不安全的Web应用来访问或篡改数据库。 为了确保中间件的安全,我们需要对其进行加固。对于Apache,在Debian系统中,我们可以使用`service ...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
WEB安全知识总结.zip
12-27
本总结将深入探讨一些常见Web漏洞及其防范措施,帮助读者快速掌握Web安全的基本知识。 1. **SQL注入**:这是一种允许攻击者通过在Web应用程序的输入字段中插入恶意SQL代码来获取、修改或删除数据库信息的攻击方式...
攻防演练的Webshell利器——冰蝎V4分析
Karka_的博客
08-02 767
最近攻防演练期间,Webshell工具界再次祭出大杀器“
冰蝎利用免杀webshell链接,反弹shell(附免杀webshell和工具)
qq_41132792的博客
09-06 2092
我们这里需要的是java环境,版本的话最好就是安装Java最新的了,Windows也是可以使用的,我这里主要介绍的是Linux上使用,我是基于kali中使用的。我们因为是实验的关系,本地搭建一个网站就好了,Windows的选择phpstudy就好,Linux的百度一下安装下apache即可。然后会弹出我们的图形界面,这里我们就先停一下,将我们的木马传到/var/www/html这个文件夹中,这里我们可以自定义请求头,然后保存即可,保存完我们双击进去。首先我们启动冰蝎,这里我将它放到了我的工具包中,
冰蝎加密 WebShell 过杀软
悦分享
08-03 2340
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。"冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。...
webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)
Innocence_0的博客
04-28 1015
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,
2021-05-07
qq_44825720的博客
05-07 239
实训6 Web安全加固 实验目的 了解SQL注入的概念和基本原理。 了解XSS跨站的概念和基本原理。 了解上传漏洞的概念和基本原理。 掌握避免SQL注入攻击的基本方法。 掌握避免XSS跨站进行攻击的基本方法。 掌握避免上传漏洞进行攻击的基本方法。 实验任务1 SQL注入防范 1、运行项目,在用户登录界面用户名处输入万能密码admin' or 1=1 --',密码处输入任意字符,点击登录,观察是否能绕过后台登录系统。 原因:项目使用PreparedStatement方法完成
Web安全深度解析:跨站脚本攻击的危害与防御策略
防御Web攻击涉及多个层面,包括Web服务器的加固、客户端的保护以及通信信道的加密。Web服务器应定期更新补丁,避免已知漏洞被利用;客户端应限制不安全的脚本运行,加强数据验证和输入过滤;同时,使用HTTPS等安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值