互联网并发与安全系列教程(05) - 常见的Web安全漏洞(XSS攻击、SQL注入、防盗链)

最新推荐文章于 2023-11-05 09:46:58 发布
最新推荐文章于 2023-11-05 09:46:58 发布
阅读量650 收藏 1
点赞数 4
分类专栏: # 互联网并发与安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20042935/article/details/103136212
版权

1. XSS攻击

XSS攻击使用Javascript脚本注入进行攻击
例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。

<script>alert('sss')</script>
<script>window.location.href='http://www.xxx.com';</script>

对应html源代码:

&lt;script&gt;alert('sss')&lt;/script&gt;
1.1 如何防御XSS攻击?

将脚本特殊字符,转换成html源代码进行展示。

汉字编码:http://www.mytju.com/classcode/tools/encode_gb2312.asp

步骤:编写过滤器拦截所有getParameter参数,重写httpservletwrapp方法
将参数特殊字符转换成html源代码保存。

// 重写HttpServletRequestWrapper 防止XSS攻击
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	private HttpServletRequest request;

	/**
	 * @param request
	 */
	public XssHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		this.request = request;
	}

	@Override
	public String getParameter(String name) {
		// 过滤getParameter参数 检查是否有特殊字符
		String value = super.getParameter(name);
		System.out.println("value:" + value);
		if (!StringUtils.isEmpty(value)) {
			// 将中文转换为字符编码格式,将特殊字符变为html源代码保存
			value = StringEscapeUtils.escapeHtml(value);
			System.out.println("newValue:" + value);
		}
		return value;
	}

}

SpringBoot启动加上 @ServletComponentScan:

@SpringBootApplication
@ServletComponentScan
public class App {

	public static void main(String[] args) {
		SpringApplication.run(App.class, args);
	}

}

2. SQL注入攻击

SQL注入指的是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作作。

造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。

2.1 如何防御SQL注入?

不要使用拼接SQL语句方式、最好使用预编译方式,在mybatis编写sql语句的时候,最好使用?传参数方式,不要使用#传参数,因为#传参数方式,可能会受到sql语句攻击。

演示案例:
http://127.0.0.1:8080/login?userName=‘liusi’&password=‘123’
http://127.0.0.1:8080/login?userName=‘liusi’&password=‘123’ or 1=1

@RestController
public class LoginController {
	@Autowired
	private UserMapper userMapper;

	@RequestMapping("/login")
	public String login(UserEntity userEntity) {
		System.out.println("账号密码信息:userEntity:" + userEntity.toString());
		UserEntity login = userMapper.login(userEntity);
		return login == null ? "登陆失败!" : "登陆成功!";
	}

}

public interface UserMapper {

	@Select(" SELECT  * FROM user_info where userName=${userName} and password=${password}")
	public UserEntity login(UserEntity userEntity);

}

3.MyBatis #与?区别

  • #{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符,可以防止SQL注入问题。
  • ${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。

3. HTTP请求防盗链

比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示。

3.1 如何防御防盗链?

判断http请求头Referer域中的记录来源的值,如果和当前访问的域名不一致的情况下,说明该图片可能被其他服务器盗用。

代码实现:

@WebFilter(filterName = "imgFilter", urlPatterns = "/imgs/*")
public class ImgFilter implements Filter {

	@Value("${domain.name}")
	private String domainName;

	public void init(FilterConfig filterConfig) throws ServletException {

	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		String referer = req.getHeader("Referer");
		if (StringUtils.isEmpty(referer)) {
			request.getRequestDispatcher("/imgs/error.png").forward(request, response);
			return;
		}
		String domain = getDomain(referer);
		if (!domain.equals(domainName)) {
			request.getRequestDispatcher("/imgs/error.png").forward(request, response);
			return;
		}
		chain.doFilter(request, response);
	}

	/**
	 * 获取url对应的域名
	 *
	 * @param url
	 * @return
	 */
	public String getDomain(String url) {
		String result = "";
		int j = 0, startIndex = 0, endIndex = 0;
		for (int i = 0; i < url.length(); i++) {
			if (url.charAt(i) == '/') {
				j++;
				if (j == 2)
					startIndex = i;
				else if (j == 3)
					endIndex = i;
			}

		}
		result = url.substring(startIndex + 1, endIndex);
		return result;
	}

	public void destroy() {

	}
}

总结

在这里插入图片描述

杨林伟
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go-DocHub-参考百度文库使用BeegoGolang开发的开源文库系统
08-14
同时,考虑到安全性,应遵循最佳实践,如使用HTTPS、防止SQL注入、处理XSS攻击等。 最后,项目的持续集成与部署也非常重要。可以使用Docker容器化技术,结合GitLab CI/CD或其他持续集成工具,自动化构建、测试和...
Web 安全之盗链(Hotlinking)攻击详解
最新发布
路多辛的所思所想
05-12 820
盗链是指在一个网站上直接链接到另一个网站服务器上的文件的行为。简单来说,是指一个网站直接引用了其他网站上的资源(如图片、视频、文档等),而用户在访问这个网站时,实际上是在消耗被盗链网站的带宽和资源,但这些资源的流量和价值却归属到了盗链网站上。例如,网站 A 的管理员发现网站 B 有一张很好的图片,他不将图片下载后上传到自己的服务器,而是在自己的网页代码中直接引用网站 B 的图片 URL。这样,每当有人访问网站 A 的这个页面,图片都是从网站 B 的服务器上加载的。
基本Web安全漏洞问题总结(XSS,SQL,CSRF等)
worn_xiao的博客
12-10 1155
1 XSS攻击  1.1 攻击方式           XSS攻击,比如当我们在某个网站的论台的文本输入框中输入了,一个脚本以后。当我们提交这个脚本保存,或者跳页面 展示这个脚本数据的时候,会发现jsp已经把这段你提交的脚本进行了执行。通过这种方式,黑客可以执行任何它么喜欢的js脚本 比如 &lt;script&gt;alert('sss')&lt;/script&gt; &lt;s...
xctf web之 command_execution
L1ni01
08-06 229
打开题目 源代码也没东西 题目为 命令执行 并且题目提示没 waf 肯定就用到命令执行漏洞 先介绍一下 命令执行漏洞: 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。 常见连接符 ;A;B 先执行A,再执行B & A&B 简单拼接,A B之间无制约关系 | A|B 显示B的执行结果 &&amp
web过滤器中获取请求的参数(content-type:multipart/form-data)
weixin_30297281的博客
12-21 596
1.前言:   1.1 在使用springMVC中,需要在过滤器中获取请求中的参数token,根据token判断请求是否合法;   1.2通过requst.getParameter(key)方法获得参数值;     这种方法有缺陷:它只能获取 POST 提交方式中的Content-Type: application/x-www-form-urlencoded;    Ht...
网络渗透测试实验三 XSS和SQL注入
weixin_62599268的博客
11-22 704
网络渗透测试实验三 XSS和SQL注入
浅谈Web开发中的代码安全——HTML、PHP等 篇一:SQL注入与XSS
南城无笙的Blog
10-24 294
文章版权©归属本文作者:南城无笙(NorthCity Mr.Silence)所有,禁止一切盗版、未经同意的转载行为,一旦发现必将与CSDN沟通,同时追究其责任。 非法转载必追究责任,本文章分多篇更新。 声明 本文中,部分有关Web漏洞的历史及第一次出处参考了道哥的《白帽子讲Web安全》如侵犯著作权,请联系我进行内容调整。 代码安全重要性 代码安全其实在网络资产中具有着很重要的地位。 比如一个厂商或者个人的Web资产,代码安全方面出现了问题,导致了诸多高危漏洞,造成的损失与剩下的时间相比,轻重显而易见。 本篇
Java架构师技术栈.txt
09-27
互联网安全架构-Web常用攻击手段之防盗链&防止CSRF模拟请求............12分布式解决方案-分布式配置中心-SpringBoot客户端整合Apollo分布式配置中心.......14-分布式解决方案-分布式锁解决解决方案-基于Redis方式...
【Java毕业设计】毕业设计---基于java的软件资源库的实现(后端).zip
02-27
- **SQL注入防护**:使用预编译语句或ORM框架防止SQL注入攻击。 - **XSS防护**:对用户输入进行过滤或转义,避免跨站脚本攻击。 - **DDoS防护**:部署防火墙或使用云服务的DDoS防护功能,抵御大规模拒绝服务攻击...
xbtit signo 's hacks-开源
05-03
2. **安全性强化**:开源项目通常会更加注重安全,Signo's Hacks可能已经包含了对常见攻击的防护措施,如SQL注入、跨站脚本(XSS)等,保护服务器免受恶意用户的侵害。 3. **性能优化**:针对BitTorrent跟踪器的特性...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
springboot2.x使用Jsoup防XSS攻击的实现
10-15
主要介绍了springboot2.x使用Jsoup防XSS攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
两年工作经验优秀简历模版01
10-16
- **安全防护**:对XSS、SQL注入等有防范措施,了解防盗链策略。 9. **分布式与微服务**: - **SOA**:理解面向服务架构,实现服务间的松耦合。 - **Dubbo、SpringCloud**:熟悉微服务框架,能构建分布式系统。 ...
WEB漏洞之XSS注入解析
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-05 1050
因此,不建议在URL中使用锚点注入来执行JavaScript代码,而应该使用更安全的方法,如在HTML文档中嵌入JavaScript代码或在外部JavaScript文件中编写代码。所以:document.location.href.indexOf("default=") 的作用就是检索:default= 第一次出现的位置,如果检索的字符串值没有出现,则该方法返回 -1 ,(没有是:=== -1;如果浏览器支持锚点注入,那么在URL的井号后面添加JavaScript脚本是可以运行的。
XSS攻击之HTTP代码注入
thislocal的博客
03-30 6530
HTML代码一般由标签名、属性名、属性值、文本、注释等组成。我们进行代码注入攻击,就是在这几个地方进行。 一、标签绕过 1、对标签名进行大小写混合,并不影响代码执行,有时却可以绕过过滤器。如: 2、利用现代浏览器对XHTML的支持,可以在某些浏览器的某些版本插入XML代码、SVG代码或未知标签。如: 等。3、分析过滤器缺陷,进行针对性绕过。分析过滤器缺陷需要长期的积累。4、利用注释
XSS跨站脚本注入详解
qq_38634483的博客
02-24 1096
XSS(Cross-site scripting)注入是一种Web安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本,从而导致攻击者能够窃取受害者的敏感信息或者利用受害者的身份在应用程序上执行未经授权的操作。
关于XSS脚本注入攻击和重定向攻击
qq_33642970的博客
01-07 1539
1.脚本注入攻击 例如: <SCRIPT SRC=http://***/XSS/xss.js></SCRIPT> <IMG SRC=”javascript:alert(‘XSS‘)”> 更多请参考: XSS脚本注入 - 美女爱找茬 - 博客园 (cnblogs.com) 那么怎么来预防这类攻击? 我们可以添加参数过滤,例如: 增加对get请求,form表单,json数据的过滤 将这五个文件导入项目即可 import org.springframew
XSS注入测试
热门推荐
u012114090的博客
07-16 4万+
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。   XSS ...
xss注入
weixin_66218784的博客
12-19 1502
通过复现实验对xss漏洞进行理解
Web安全编程规范:防止SQL注入XSS攻击
SQL注入和XSS跨站攻击是两种常见的网络安全威胁,主要源于开发过程中对用户输入数据处理不当。此文档旨在为开发人员提供关于如何防范这两种攻击的安全编码规范。 一、SQL注入攻击及规范 SQL注入攻击是通过恶意构造...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值