web安全常见问题原理及解决方法

最新推荐文章于 2024-06-06 09:50:42 发布
最新推荐文章于 2024-06-06 09:50:42 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: js html5 php 文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20334295/article/details/54408146
版权
js 同时被 3 个专栏收录
47 篇文章 0 订阅
订阅专栏
html5
19 篇文章 0 订阅
订阅专栏
php
5 篇文章 0 订阅
订阅专栏

Web安全,也可以叫做Web应用安全。
互联网本来是安全的,自从有了研究安全的人之后,互联网就变的不安全了。

Web安全的本质是信任问题
由于信任,正常处理用户恶意的输入导致问题的产生
非预期的输入
安全是木桶原理,短的那块板决定的木桶世纪能装多少水,同样的,假设把99%的问题都处理了,那么1%的余留会是造成安全问题的那个短板

xss
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的,注入式攻击方式。
原因:对于用户的输入没有进行严格的控制,直接输出到页面
危害:盗取个人用户账号,窃取数据,非法转账,挂马
产生危害的XSS是Exp,没有产生危害的是Poc

xss分类
存储型(持久性) 留言板,聊天
反射型(非持久性) 如get传入参数如获取get跳转改地址,cookie(注入点很多)
DOM型 也属于反射型的一种,写dom的时候写进xss的dom

其他xss类别
mXSS(突变型xss)
UXSS (通用性xss)
Flash XSS
UTF-7 XSS
MHTML XSS
CSS XSS
VBScript XSS

实例:在之前做的聊天软件中,相互之间聊天各种贴代码会产生很多的xss,现在的话一般来说会把<>转义成实体,然后用正则表达式清空 onerror后面的内容防止插入xss执行js代码.

CSRF跨站伪造请求
简介 :也成为one click attack/session riding,利用被害者的身份去发送请求
实例:比如你使用session/cookie直接可以登录,可以伪造一个form表单,让你去创建一个账号,或者做些你权限中可以使用的功能
注意本地文件file://是跨域限制的,ip和域名是相同域

csrf与xss的区别
xss:利用对用户输入的不严谨然后执行js语句
csrf:利用伪造受信用户请求
csrf可以通过xss

csrf防御方法
通过验证码进行防御
检查请求来源
增加请求参数token

SQL注入

在需要进行SQL语句的地方,如登录,输入保存等需要数据库操作的地方都可能会被用户输入SQL语句之后执行出来

解决方法:1.php使用pdo或者mysqli,毕竟php7以后不支持源生mysql了,其他语言应该也有相应封装的库
2.或者把”’”转换成”\’”, _%回车等过滤掉

机智的皮卡丘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《网络安全自学教程》- Web体系架构存在的安全问题解决方案
wangyuxiang946的博客
06-06 9367
Web体系架构、Web三层架构、Web应用防火墙原理、网页防篡改系统的三种实现原理
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
m0_54861649的博客
07-28 1338
CSRF跨站请求伪造,全称Cross-siterequestforgery,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF是Web安全中最容易被忽略的一种攻击方式,但某些时候却能产生强大的破坏性。...
web安全Web服务器工作原理简介
11-10
WEB应用安全暨防篡改产品介绍
解读Web应用程序安全问题的本质
iwebsecurity(Web安全性)的专栏
07-13 8011
   相信大家都或多或少的听过关于各种Web应用安全漏洞,诸如:跨site脚本攻击(XSS),SQL注入,上传漏洞...形形色色.  在这里我并不否认各种命名与归类方式,也不评价其命名的合理性与否,我想告诉大家的是,形形色色的安全漏洞中,其实所蕴含安全问题本质往往只有几个。 我个人把Web应用程序安全性本质问题归结以下三个部分:  1、输入/输出验证(Input/output validation
web三大安全问题和其解决方案
铭小小
03-16 389
XSS 跨站请求攻击 直接举个例子:也就是你发表一篇博客这种,别人会来浏览,你看如果在文章里面写一段带有攻击性的<script><script>的javascript代码,那么问题来了这个js代码依靠他的浏览器执行,获取你浏览器中的cookie,因为你登录信息在里面传到攻击者的服务器。 解决方法:将<>通过&gt &lt转义 XSRF ...
web安全问题解决方案
鸣人的博客
01-08 561
1. 防止网站被人嵌套 解决方法: 在该jsp文件的顶部加入 response.setHeader("X-Frame-Options","SAMEORIGIN"); %> 2. el表达式XSS攻击 解决方法: // 第一种解决方法,这种方法比较通用,对于特殊场景不适用 out value="${page.name}" /> // 第二种解决方法,适用于特殊场景 "http:/
如何理解“安全的本质是信任问题
Eleven的个人小站
01-24 3006
安全的本质是信任问题”这句话是最早是在道哥的《白帽子讲WEB安全》一书中看到的。书中也拿机场、车站的安检做了举例,虽然在当时就感觉这话说的有道理,但并没产生共鸣。究其原因可能是当时所在公司的信息安全管理并未充分利用“信任”这一工具。近期在整理现公司信息安全建设思路和举措的时候才豁然认识到,信息安全各类举措其本质就是信任(访问控制)的问题,下面我将通过安全管理与技术两大方面举例说明。 1、安全
常见win2021 iis配置问题解决方法.docx
09-27
常见 Win2021 IIS 配置问题解决方法 IIS(Internet Information Services)是微软公司推出的基于Windows操作系统的Web服务器软件。随着IIS的普及,许多开发者和管理员在使用IIS时会遇到一些配置问题。本文将总结...
ctf web解题 找flag夺旗赛概述、原理及应用.pdf
05-13
通过实践操作,参赛者能够更加深入地了解Web安全漏洞的原理及如何防范。 2. **漏洞发现**:企业或个人可以通过参与CTF比赛来检验自身Web应用的安全性。通过模拟攻击的方式,能够帮助发现潜在的安全问题,并及时...
解决web开发中的中文问题.doc
10-18
解决web开发中的中文问题.doc
Web安全威胁防范利器——安全意识[Web安全大家谈]
weixin_34240657的博客
08-11 105
最近看到博客有有关Web安全威胁方面的征文,自己也来发表一下自己对这方面的观点。 我还深深记得第一次受到Web***的事情。那时很多年以前,记得那时候大家都用QQ聊天,突然和一个朋友聊天时发过来一个网址。自己想既然是好友发过来的也没什么,也就立即打开。结果谁能想到,就在打开这个窗口的一瞬间,自己的电脑离开了自己的控制,随着一堆窗口的打开,自己...
【XSS技巧拓展】————5、跨站的艺术-XSS入门与介绍
Fly_鹏程万里
12-26 768
什么是XSS? XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS,比较合适的方式应该叫做跨站脚本攻击。 跨站脚本攻击是一种常见的web安全漏洞,它主要是指攻击者可以在页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份/钓鱼/传播恶...
web项目配置防止跨站点请求(XSS攻击)的过滤器
master_02的博客
11-23 1580
一、Microsoft Windows MHTML (XSS)跨站点脚本编制漏洞描述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web项目中的计算机安全漏洞。 1、严重性:中危。 2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。 3、原因:未对用户输入正确执行危险...
常见安全漏洞及其解决方案
m0_61869253的博客
06-17 1593
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
探秘CVE-2017-5124:一窥MHTML中的UXSS漏洞利用
最新发布
gitblog_00007的博客
06-06 394
探秘CVE-2017-5124:一窥MHTML中的UXSS漏洞利用 项目地址:https://gitcode.com/Bo0oM/CVE-2017-5124 项目介绍 在网络安全的广袤世界中,每一个CVE编号都代表着一段独特的故事。今天,我们将聚焦于CVE-2017-5124,这是一个与MHTML(Multipurpose Internet Mail Extensions HTML)相关联的Uni...
常见的web安全问题及防范方法
Adam的博客
12-08 7958
sql注入漏洞名称SQL注入漏洞漏洞原理通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。漏洞分类1. 平台层SQL注入:            不安全的数据库配置或数据库平台的漏洞所致2. 代码层SQL注入:            程序员对输入未进行...
Web开发常见安全问题解决
热门推荐
sigmeta的博客
05-22 1万+
Web攻击动机:恶作剧;关闭Web站点,拒绝正常服务;篡改Web网页,损害企业名誉;免费浏览收费内容;盗窃用户隐私信息,例如Email;以用户身份登录执行非法操作,从而获取暴利;以此为跳板攻击企业内网其他系统;网页挂木马,攻击访问网页的特定用户群;仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等1.SQL注入(SQL Injection)定义由于程序中对用户输入检查...
Web站点常见安全问题
Tian
02-06 5906
Web站点常见安全问题类型
天翼电商通用安全编码规范:解决Web应用常见安全问题
1. 目的:文档明确了编写安全代码的重要性,旨在防止常见的Web安全威胁,如跨站脚本攻击(XSS)、SQL注入、恶意脚本执行、文件上传漏洞等。 2. 规范概述:文档详细解释了安全编码的基本原则,强调了保护用户数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值