SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇

已于 2022-04-13 19:14:18 修改
阅读量5.8k 收藏 74
点赞数 26
分类专栏: 网络安全 文章标签: 安全 网络安全
于 2022-03-23 20:50:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57379855/article/details/123677978
版权
本文详细介绍了Web应用中常见的安全漏洞,包括SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞和文件上传/包含漏洞。讲解了每种漏洞的定义、危害、发生位置和防御策略。对于SQL注入,建议使用预编译语句、过滤特殊字符和设置HttpOnly Cookie来防御;XSS防御则包括输入输出过滤和编码;XXE防御可通过禁止外部实体解析;CSRF防御措施包括验证Referer和使用token;SSRF防御可限制请求端口;越权漏洞的防御重点是加强权限验证。文件上传漏洞的防范关键在于文件类型检查和随机文件命名。
摘要由CSDN通过智能技术生成

漏洞总结篇

SQL注入

什么是SQL注入?

是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息

就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目的

怎么防御?

建议在代码中对数字类型的参数先进行数字类型变换,然后再代入到SQL查询 语句中,这样任何注入行为都不能成功。井且考虑过滤一些参数,比如get参数和 post参数中对于SOL语言查询的部分。

  1. 内容过滤

  2. 字符转义,把一些特殊转义,比如PHP配置文件里的magic_quotes_gpc=On
    在这里插入图片描述

  3. 杜绝SQL拼接
    预编译 prepare statement
    在这里插入图片描述
    在这里插入图片描述

  4. 封装错误信息,不要给用户提供任何数据库错误信息

  5. 数据库权限控制

  6. 数据库定义,定义的复杂些

  7. 数据加密,不要明文存储数据

  8. web应用防火墙,WAF

过滤特殊字符

所以防范的时候需要对用户的输入进行检查.
特别式一些特殊字符,比如单 引号,双引号,分号,逗号,冒号,连接号等进行转换或者过建.以下为需过滤 的敏感字符或者语句:
【1】net user
【2】xp_c«ndshel I
【3】add
【4】xec master.(fco. xp_cmdshelI
【5】net I oca Igroup administrators
【6】□select
【7】count
【8】Asc
【9】char
【10】mid
【11】%
【12】,
【13】:
【14】-
【15】 insert
【16】 delete from
【17】 drop table
【18】 update
【19】truncate
【20】 from

修改php.in

修改PHP中默认配置文件php.ini中的配置,来降低sql注入的风险
safe_mode = on //开启安全模式
magic_quotes_gpc = On 〃开启过建函数
display_errors = Off 〃禁止错误信息提示 注:JBnagic_auotes_gpc选项打开,在这种情况下所有的客户端GET和POST 的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是 不可行的,但要防止对数字值的SQL注入,如用intvalO等函数进行处理。 但如果你编写的是通用软件,则需要读取服务器的magic_Quotes_gpc后进行相应处理。

使用mysqli_real_escape_string()函数

对于MySQL用户,可以使用函数mysqli_real_escape_string():转义在 SQL 语句中使用的字符串中的特殊字符

在这里插入图片描述

加固数据库方面

1、 不要以sysadmin的身份连接数据库.而是使用特定的数据库用户,只具有读取,写入和更新数据库中适当数据的适当特权。此帐户定期检查, 确定它所具有的特权.
2、 以安全的方式创建SQL。让数据库来完成创建SQL的工作,而不是在代码 中完成。使用参数化SQL语句,同时也能提高查询的效率.
3、 保证数据库用户连接信息非明文保存.

加固管理方面

1.加强编程人员良好的安全编码意识,系统地学习安全编码的知识,减少 源代码泄鸯的风险。
2.建立起良好的代码审核、审查体系.由专人负责代码的审计,增加安全 监督环节。

Mybatis

【1】预编译
在这里插入图片描述

【2】like
1.MySQL
在这里插入图片描述2.Oracle
在这里插入图片描述

3.sql server
在这里插入图片描述

【3】in
在这里插入图片描述

防火墙

XSS

什么是XSS?

SS作为OWASP TOP 10 之一
XSS被称为跨站脚本攻击(Cross-

最低0.47元/天 解锁文章
half~
关注
专栏目录
JAVA代码审计(基础漏洞SQL注入XXEXSS、反序列化、CSRF文件上传、逻辑漏洞SSRF、命令执行)
墨痕诉清风的博客
09-09 155
比如以下,只是判断referer的值是否为空,判断是否是www.testdomain.com开头,都是则继续执行,否则就返回首页,只要构造POC:www. testdomain.com.hacker.com。就可以绕过检测,造成CSRF漏洞。知道漏洞的原理,了解漏洞产生的原因,只要在审计的时候,重点关注这些原因,就很容易找到漏洞。攻击者盗用了用户的身份,以用户的名义发起恶意请求,服务器没有对身份进行识别,会认为这请求是用户发起,会根据请求进行响应 ,CSRF漏洞的本质就是通过欺骗用户去访问自己设置的地址。
挖洞经验:通过Vimeo的文件上传功能发现其SSRF漏洞
墨痕诉清风的博客
03-09 597
比如,按以上原理,如果我的VPS告诉Vimeo后端服务器,我需要上传的文件有500B,那么Vimeo后端服务器就会来取走这500B,但是,如果现在我的VPS告诉Vimeo后端服务器我的文件只有200B,那么之后会发生什么呢?于是,我就直接想测试一下Vimeo平台的上传功能,尤其是通过Google云端硬盘 (Google Drive)上传到Vimeo的一些功能特性,所以,在我的Google云端硬盘中我选择了一个特定视频文件,把它执行到Vimeo的上传操作,然后用BurpSuite查看它的具体上传请求信息。..
渗透测试-一文读懂XSSCSRFSSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 2977
一文读懂XSSCSRFSSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSSCSRFSSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
常见前端安全问题 XSS CSRF SQL注入
最新发布
Tiny2017的博客
09-30 735
已经通过被保存在用户浏览器中的cookie进行认证的用户将在完全无知的情况下发送HTTP请求到那个信任他的站点,进而进行用户不愿做的行为。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。但增加验证码降低了用户的体验,网站不能给所有的操作都加上验证码。
常见漏洞简介,网络安全sql注入xssxxeCSRF文件上传等)
weixin_50651979的博客
03-26 2536
webshell就是以asp、php、jsp或者cgi等网页形式存在的一种命令执行方式,也可以将其称为一种网页后门。攻击者在入侵了一个网站后,通常会将这些asp或者php后门文件与网站服务器web目录下正常的网页文件混在一起,然后使用浏览器来访问这些后门,得到一个命令执行环境,以达到控制网站服务器的目的(可以上传下载或者修改文件,操作数据库,执行任意命令等)webshell后门隐藏性高,可以轻松穿越防火墙,访问webshell时不会留下系统日志,指挥在网站的web日志中留下一些数据提交记录。
任意文件绕过上传漏洞验证、SQL注入攻击漏洞验证、XSS跨站脚本攻击漏洞验证...
auitas7986的博客
07-16 466
漏洞:任意文件绕过上传漏洞验证。 漏洞危害: 黑客可以上传脚本木马控制网站。 解决方案:白名单过滤文件后缀,并去除上传目录的脚本和执行权限。 解决方法:iis网站->Upload文件夹->处理程序映射(双击)->编辑功能权限->脚本取消勾选。 漏洞: SQL注入攻击漏洞验证。 漏洞危害: 黑客利用精心组织的SQL语...
什么是sql注入xss漏洞
_QIuXiaoYi的博客
05-30 2746
            XSS(Cross Site Script)跨站脚本攻击,指恶意攻击者往web页面插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页面时,嵌入其中的web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。因此,一般在表单提交或者url参数传递前,对需要的参数进行过滤。             Sql注入攻击原理:使用用户输入的参数拼凑sql查询语句,使用户...
解决sql注入xss漏洞
05-17 623
WebMvcConfig.java registry.addInterceptor(new SqlInjectInterceptor()).addPathPatterns("/**"); SqlInjectInterceptor.java @Component public class SqlInjectInterceptor implements HandlerInterceptor{ @Override public void afterCompletion(HttpSer.
CSRFSSRF与XXE
j1044957016的博客
05-31 692
文章目录前言一、CSRF1.CSRF的简介2.CSRF的防御与检测二、SSRF1.SSRF简介2.SSRF容易出现的地方3.SSRF会造成的危害4.防御措施总结 前言 系统的梳理下CSRFSSRF的知识点 一、CSRF 1.CSRF的简介 CSRF又称跨站请求伪造,XSS就是CSRF中的一种。跨站请求伪造指的是伪造客户端请求。 发生条件: 用户在正常网站A登录的情况下 访问了保存有恶意代码的另一个网站B B网站劫持用户的登陆状态以用户的身份对网站A发送请求,一般是劫持了COOKIE信息。 当服务端对这
安全防范 XSSCSRFSSRF
Yweivvv的博客
04-01 1073
XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中。 XSS 可以分为多种类型,但是总体上我认为分为两类:持久型和非持久型。 持久型也就是攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击 CSRF 中文名为跨站请求伪造。原理就是攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用...
漏洞扫描(kali beef-xss、DNSlog、CSRFSSRF)
m0_61506558的博客
08-04 1691
并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口 探测、攻击内网网站等危害。,'.yourid.ceye.io/jinyiuxin'))),1,0) 黑体处拼接SQL语句。gopher协议:是一种信息查找系统,只支持文本,不支持图像,已被HTTP替代。第三方网站利用被攻击网站生效的cookie,直接对服务器接口发起请求。抓取正常通信请求的数据包,再请求一次。.........
常见漏洞原理、利用方式及修复方式----SQL注入XSS
qq_37698661的博客
03-01 3866
sqli 1、原理: (1)将SQL语句插入或添加到应用(用户)的输入参数中,再将这些参数传递给后台的SQL服务器加以解析并执行。 (2)刚开始接触sqli,首先我们得明白常见的web架构是怎么样的,通俗点来说,也就是所有的浏览器通过表示层来访问一个网站,其具体的工作流程是什么样的? 流程:浏览器发起一个请求,并将请求交给服务器,服务器当中运行着Apache\Nginx等中间件来解析请求,当对请求中的网站进行解析的时候,需要用到解析脚本(ASP\PHP\JSP.NET),而存储层的东西是不能直接使用的,所以
WEB渗透实战
m0_57929980的博客
06-25 8735
WEB渗透实战:介绍文件上传漏洞、跨站脚本攻击、SQL注入漏洞文件包含漏洞、反序列化漏洞原理及利用
web漏洞CSRF-SSRF-文件包含-文件解释-文件下载-目录遍历-sql注入-文件上传-反序列化-XSS-XXE-RCE-逻辑越权
weixin_46626737的博客
03-13 1077
爆出列名:id=1+and+1=2+union+select+1,null,oid,null,4+from+pg_class+where+relname='表名'+limit+1+offset+0--爆出字段id=1+and+1=2+union+select+1,null,column_name,null,4+from+information_schema.columns+where+table_name='表名'+limit+1+offset+0--例如:filename='1.jpg';
带你理解什么是xss攻击sql注入攻击和csrf攻击及防范措施
南余.的博客
07-06 8510
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSSCSRF安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。这文章会介绍一些常见的安全问题及如何防范的内容,在当下其实安全问题越来越重要,已经逐渐成为前端开发必备的技能了。
ctfhub ssrf之上传文件
L_2448570135的博客
03-13 593
CTFHUB之ssrf中文件上传的题目内容,记录自己遇到的问题
CTFHUB-SSRF-上传文件
o3Ev的博客
07-12 1448
CTFHUB-SSRF-上传文件 先用file协议读下flag.php的内容: file:///var/www/html/flag.php 可知是随便上传个文件就行 访问127.0.0.1/flag.php,是个上传界面 但并没有提交,所以我们得自己补一个提交按钮: <input type="submit" name="submit"> 随便抓个上传包: 进行两次url编码,得到: POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%
【CTFHub】ssrf漏洞--之上传文件
weixin_57240513的博客
07-24 319
第一步:打开环境 第二步:访问flag.php 第三步:没有提交按钮,所以打开检查器,编辑html代码 第四步:修改代码如下图 第五步:点击提交按钮,抓包提交数据包 第六步:将host后面改为127.0.0.1:80,将数据包发送到repeater 第七步:将乱码的中文删掉重新输入两个中文字 第八步:将数据包保存为txt文件 第九步:将保存的数据包代码进行第一次编码 第十步:将第一次编码后的数据包ctrl+f替换,将%0A替换为%0A%0D再进行
利用ssrf上传文件到服务器,4.4. SSRF
weixin_34413579的博客
08-02 209
4.4.4. 过滤绕过¶4.4.4.1. 更改IP地址写法¶一些开发者会通过对传过来的URL参数进行正则匹配的方式来过滤掉内网IP,如采用如下正则表达式:^10(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){3}$^172\.([1][6-9]|[2]\d|3[01])(\.([2][0-4]\d|[2][5][0-5]|[01]?\d?\d)){2}$^192\....
现阶段主要web漏洞有哪些
09-26
### 回答1: 现阶段主要的web漏洞包括SQL注入漏洞、跨站脚本攻击(XSS)、XML外部实体注入漏洞、本地文件包含漏洞、远程文件包含漏洞、跨站请求伪造漏洞(CSRF)、服务器端请求伪造漏洞(SSRF)、任意文件上传漏洞等。 ### 回答2: 当前主要的Web漏洞有: 1. 跨站脚本攻击(XSS):攻击者通过在Web应用中插入恶意脚本,实现对用户的攻击,如盗取用户敏感信息、篡改页面内容等。 2. 跨站请求伪造(CSRF):攻击者伪造合法用户的请求,诱使用户点击恶意链接或访问恶意网页,以达到窃取用户信息、执行未经授权操作的目的。 3. SQL注入攻击:攻击者通过在Web应用的输入框中注入恶意SQL语句,从而篡改、删除、插入或泄漏数据库的内容。 4. 文件包含漏洞:攻击者利用Web应用程序的文件包含功能,注入恶意文件路径或代码,导致执行恶意代码或读取未经授权的文件。 5. 不安全的直接对象引用:攻击者通过直接修改参数或URL中的数据来访问未授权的资源,如访问其他用户的数据、越权操作等。 6. XML外部实体注入(XXE):攻击者通过注入恶意的外部实体引用,导致应用程序解析XML时泄漏机密信息、执行任意代码等。 7. 服务器端请求伪造(SSRF):攻击者构造恶意请求,使服务器端在攻击者控制的目标上执行操作,如访问内部服务、攻击内部网络等。 8. HTTP劫持:攻击者通过在网络传输过程中修改HTTP请求或响应的内容,窃取用户信息、篡改页面内容等。 9. 逻辑漏洞:存在于应用程序设计或业务逻辑中的漏洞,可导致应用程序在特定条件下产生不可预料的行为,如越权操作、信息泄露等。 10. 敏感信息泄漏:应用程序在处理用户输入或存储用户数据时,未进行合适的加密或保护,导致用户信息泄漏。 以上是当前主要的Web漏洞,开发者和安全团队需要关注这些漏洞,并采取相应的安全措施来避免和修复漏洞,确保Web应用的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值