Web 常见的漏洞描述与修复方案

最新推荐文章于 2024-05-14 16:27:26 发布

嘻嘻嘻嘻嘻x

最新推荐文章于 2024-05-14 16:27:26 发布

阅读量60

点赞数

文章标签：前端数据库 oracle 系统安全安全 web安全网络

本文链接：https://blog.csdn.net/liuhyusb/article/details/134215113

版权

1.SQL 注入

漏洞描述

Web 程序中对于用户提交的参数未做过滤直接拼接到 SQL 语句中执行，导致参数中的特殊字符破坏了 SQL 语句原有逻辑，攻击者可以利用该漏洞执行任意 SQL 语句，如查询数据、下载数据、写入 webshell、执行系统命令以及绕过登录限制等。

修复建议

代码层最佳防御 sql 漏洞方案：使用预编译 sql 语句查询和绑定变量。

（1）使用预编译语句，使用 PDO 需要注意不要将变量直接拼接到 PDO 语句中。所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中。当前几乎所有的数据库系统都提供了参数化 SQL 语句执行接口，使用此接口可以非常有效的防止 SQL 注入攻击。

（2）对进入数据库的特殊字符（’”<>&*;等）进行转义处理，或编码转换。

（3）确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为 int 型。

（4）数据长度应该严格规定，能在一定程度上防止比较长的 SQL 注入语句无法正确执行。

（5）网站每个数据层的编码统一，建议全部使用 UTF-8 编码，上下层编码不一致有可能导致一些过滤模型被绕过。

（6）严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。

（7）避免网站显示 SQL 错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。

（8）过滤危险字符，例如：采用正则表达式匹配 union、sleep、and、select、load_file 等关键字，如果匹配到则终止运行。

2.XSS

漏洞描述

1、Web 程序代码中对用户提交的参数未做过滤或过滤不严，导致参数中的特殊字符破坏了 HTML 页面的原有逻辑，攻击者可以利用该漏洞执行恶意 HTML/JS 代码、构造蠕虫、篡改页面实施钓鱼攻击、以及诱导用户再次登录，然后获取其登录凭证等。

2、XSS 攻击对 Web 服务器本身虽无直接危害，但是它借助网站进行传播，对网站用户进行攻击，窃取网站用户账号身份信息等，从而也会对网站产生较严重的威胁。

XSS 攻击可导致以下危害：

1、钓鱼欺骗：最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者通过注入钓鱼 JavaScript 脚本以监控目标网站的表单输入，甚至攻击者基于 DHTML 技术发起更高级的钓鱼攻击。

2、网站挂马：跨站时，攻击者利用 Iframe 标签嵌入隐藏的恶意网站，将被攻击者定向到恶意网站上、或弹出恶意网站窗口等方式，进行挂马。

3、身份盗用：Cookie 是用户对于特定网站的身份验证标志，XSS 攻击可以盗取用户的 cookie，从而利用该 cookie 盗取用户对该网站的操作权限。

4、盗取网站用户信息：当窃取到用户 cookie 从而获取到用户身份时，攻击者可以盗取到用户对网站的操作权限，从而查看用户隐私信息。

5、垃圾信息发送：在社交网站社区中，利用 XSS 漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。

6、劫持用户 Web 行为：一些高级的 XSS 攻击甚至可以劫持用户的 Web 行为，从而监视用户的浏览历史、发送与接收的数据等等。

7、XSS 蠕虫：借助 XSS 蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、破坏数据、实施 DDoS 攻击等。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…