常见的web安全问题及防范方法

最新推荐文章于 2024-08-20 10:15:00 发布
最新推荐文章于 2024-08-20 10:15:00 发布
阅读量7.9k 收藏 19
点赞数 3
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iamhuanggua/article/details/53513286
版权
本文探讨了五个主要的Web安全问题,包括SQL注入、CSRF攻击、URL跳转漏洞、路径遍历风险以及文件上传漏洞。针对这些问题,文章提供了解决和预防的方法,以增强网站的安全性。
摘要由CSDN通过智能技术生成

sql注入

漏洞名称

SQL注入漏洞

漏洞原理

通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,

通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。

漏洞分类

1. 平台层SQL注入:

            不安全的数据库配置或数据库平台的漏洞所致

2. 代码层SQL注入:

            程序员对输入未进行细致地过滤从而执行了非法的数据查询

产生原因

1. 不当的类型处理;

2. 不安全的数据库

3. 不合理的查询集处理

4. 不当的错误处理;

5. 转义字符处理不合适;

6. 多个提交处理不当。

防护建议

1.对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和

双"-"进行转换等。

2.不要使用动态拼装sql,可以使用参数化的sql

3.不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。

流程建议

在部署应用系统前,始终要做安全审评。建立一个正式的安全过程,并且每次做更新时,要对所有的编码做审评。

开发队伍在正式上线前会做很详细的安全审评,然后在几周或几个月之后他们做一些很小的更新时,

他们会跳过安全审评这关, “就是一个小小的更新,我们以后再做编码审评好了”。请始终坚持做安全审评

举例
  1. Select author, title, year, from books where publisher = ‘willey’and published = 1

其中字符串willey由前端输入, willey->O’willey

  1. Select author, title, year from books where publisher = ‘O’willey’ and published = 1
  2. Incorrect syntax near ‘Reilly’
  3. Select author, title, year from books where publisher = ‘willey’ OR 1=1 --’and published = 1   willey’or 1=1—‘

如何防止SQL注入
  1. 将SQL的一些关键字符: ‘ – 进行转义处理
  2. 参数化查询,

SQL拼接方式的结构:

定义查询结构

String queryText = “select ename, sal from emp where ename = ‘”;

拼接查询语句

queryText += request.getParameter(“name”);

queryTrxt + =”’”;

执行查询

   Stmt = con.createStatement();

   Rs = stmt.exceuteQuery(queryText);

使用参数绑定的办法:

String queryText = “select ename, sal from emp where ename = ?”;

使用数据库连接”con”预处理语句

Stmt = con.prepareStatement(queryText);

Stmt.setString(1, request.getParameter(“name”))

 

编码规范

JAVA:

不允许直接根据用户输入的参数拼接sql的情况出现,直接使用PreparedStatement进行sql的查询;

并且需要对输入的参数进行特殊字符的过滤。使用Hibernate等框架的,可以使用参数绑定等方式操作sql语句。
最低0.47元/天 解锁文章
拥春飞翔
关注
专栏目录
Web应用安全十大主动安全措施
ABC-II
11-23 1104
1:Content-Security-Policy Content Security Policy是Mozilla为了提高浏览器安全性开发的一套新的安全机制,该机制让网站可以定义内容安全政策,明确告知浏览器哪些内容是合法的,让浏览器得以避开恶意内容。CSP主要锁定解决XSS及跨站冒名求(Cross Site Request Forgery)等网络应用程序漏洞。强烈建议用户将该告警打开,你可
Web应用程序安全防护
jkqa_123的专栏
09-06 1884
 在网上读到一篇文章《Web应用程序引起了大量的攻击》http://searchsecurity.techtarget.com.cn/securitynews/490/2493990.shtml?BLK=050001&NODE=1005后决定学习一下Web应用程序安全防护,以下是我的一些总结:Web应用程序安全问题主要为:                                
对前端安全性的理解,包括哪些常见安全问题防范措施
Dingdangr的博客
08-20 692
对前端安全性的理解,涉及到多个方面,主要包括识别并防范那些可能威胁到用户数据安全、隐私安全以及网站或应用稳定性的安全问题。以下将详细阐述前端常见安全问题及其防范措施,旨在提供一个全面且深入的理解。
关于web安全方面的几个防范措施
smarty123的博客
12-08 1593
1,关于sql注入 用户提交登录信息的时候可以用 password ' or 1 #   这样原来sql拼接语句就成了  select * from table where username=xxx and password ='password' or 1#' 这样就登陆用户得到了登录信息了。完成了一次sql注入 解决方式 第一:用addslashes  把提交的字符 转义一下特
Web一些主要安全防护措施
DavidLiu的博客
05-05 5838
OWASP (安全防护、漏洞验证工具) 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,...
Web安全常见安全问题防范措施
shandongjiushen的博客
12-09 2235
警惕安全问题,防止信息裸奔!
Web应用常见漏洞安全防范技术培训
最新发布
08-24
Web应用常见漏洞安全防范技术培训。适用于Web应用开发人员。 主要内容如下: 1、安全三要素 2、Web应用漏洞防范技术 2.1、任意文件下载漏洞防范 2.2、CSRF漏洞防范 2.3、使用浏览器指纹技术 2.4、文件上传漏洞防范 ...
WEB安全测试分类及防范测试方法
06-20
以下将详细介绍几种主要WEB安全测试分类及其防范测试方法。 1. **Web应用程序部署环境测试** - **HTTP求引发的漏洞测试**:HTTP求是Web应用的基础,但不安全求处理可能导致诸如跨站脚本(XSS)、跨站...
常见Web攻击手段及安全防范.docx
09-07
常见Web攻击手段及安全防范.docx
web安全主要包括哪些方面的安全
wangluoanquan111的博客
06-19 496
互联网和Web技术广泛使用,使Web应用安全所面临的挑战日益严峻,Web系统时时刻刻都在遭受各种攻击的威胁,在这种情况下,需要制定一个完整的Web攻击防御解决方案,通过安全Web应用程序Web服务器软件、Web防攻击设备共同配合,确保整个网站的安全。此外 ,Web攻击防御是一个长期持续的工作,随着Web技术的发展和更新,Web攻击手段也不断发展,针对这些最新的安全威胁,需要及时调整Web安全防护策略,确保Web攻击防御的主动性,使Web网站在一个安全的环境中为企业和客户服务。
构建坚不可摧的Web安全防线:深入剖析二阶注入与全面防御策略
weixin_43822401的博客
05-27 1002
SQL注入攻击通过在用户输入中嵌入恶意SQL代码,企图让数据库执行这些非法命令,从而达到窃取、破坏或篡改数据的目的。
保证web应用安全常见手段
Finit的成长空间
07-22 924
1.加密措施 RSA DES 验证码
如何巧妙防御Web攻击
chiran9291的博客
04-17 156
如何巧妙防御Web攻击?网络安全问题对于开发者而言也是十分重要的课题,那么笔者也总结了几点关于Web攻击的常见情况及分析。 1. CSRF (cross-site request forgery)跨站求伪造 一句话概括:当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者j...
目录遍历漏洞学习(含pikachu练习)
qq_51558360的博客
01-26 1999
目录遍历的定义 路径遍历攻击(也称为目录遍历)是指在访问储存在web根目录文件夹之外的文件和目录。通过操纵带有“点-斜线(…)”序列及其变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置和关键系统文件。 需要注意的是,系统操作访问控制(如在微软windows操作系统上锁定或使用文件)限制了对文件的访问权限。 这种攻击也称为 “点-点斜线”、“目录遍历”、“目录爬升”和“回溯”。 漏洞的原因 当用户发起一个前端的求时,便会将求的这个文件的值(比
任意文件下载漏洞
LfanBQX的博客
04-03 347
(2) Web应用程序可以使用chrooted环境访问包含被访问文件的目录,或者使用绝对路径+参数来控制访问目录,使其即使是越权或者跨越目录也是在指定的目录下。(1) 数据净化,对网站用户提交过来的文件名进行硬编码或者统一编码,对文件后缀进行白名单控制,对包含了恶意的符号或者空字节进行拒绝。“../../../../../../../etc/passwd“ 或者”../../../../boot.ini“,filename= %66%61%6E%2E%70%64%66“来绕过。
web安全测试必须注意的五个方面
mashibing_web的博客
11-04 907
今天主要给大家分享下有关安全测试的一些知识点以及注意事项。 一、安全测试的验证点 一个系统的安全验证点包括上传功能、注册功能/登陆功能、验证码功能、密码、敏感信息泄露、越权测试、错误信息、session等。 1、上传功能 上传中断,程序是否有判断上传是否成功 上传与服务器端语言(jsp/asp/php)一样扩展名的文件或exe等可执行文件后,确认在服务器端是否可直接运行 2、注册功能/登陆功能 求是否安全传输 重复注册/登陆 关键cookie是否http
常见Web安全漏洞
热门推荐
weixin_45253622的博客
03-07 1万+
常见Web漏洞小结 1越权漏洞 不同权限账户之间的存在越权访问 检测 抓去a用户功能链接,然后登录b用户对此链接进行访问 抓去a用户功能链接,修改id为b的id,查看是否能看b的相关数据 替换不同的cookie进行测试查看 防范 1服务器端必须对每个页面链接进行权限判断。 2用户登陆后,服务器端不应再以客户端提交的用户身份信息为依据,而应以会话中服务端保存的已登陆的用户身份信息为准。 3页面提交的资源标志与已登陆的用户身份进行匹配比对,然后判断其对当前链接是否有权限。 4必须在服务器端对每个求URL进行鉴
【渗透测试】目录遍历漏洞
anwar2005的博客
08-30 712
许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名形如:http://www.nuanyue.com/getfile=image.jgp 当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返回给访问者。 初看,在只是文件交互的一种简单的过...
IIS常见安全漏洞详解:18个关键问题防范方法
检测此类漏洞的方法是使用iishack.exe和ncx.exe工具,攻击者首先在自己的Web服务器上设置好环境,然后通过iishack.exe发送溢出求,通过nc命令连接目标服务器。如果溢出点有效,攻击者将能看到目标机器的管理权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拥春飞翔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值