Web安全(二)

最新推荐文章于 2023-05-02 18:17:35 发布
最新推荐文章于 2023-05-02 18:17:35 发布
阅读量257 收藏 1
点赞数
分类专栏: HTTP 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24510455/article/details/102505556
版权

SQL注入

基本概念

SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。

很多 Web 开发者没有意识到 SQL 查询是可以被篡改的,从而把 SQL 查询当作可信任的命令。殊不知,SQL 查询是可以绕开访问控制,从而绕过身份验证和权限检查的。更有甚者,有可能通过 SQL 查询去运行主机系统级的命令。

攻击原理

数据和代码未分离,即输入的数据当做了代码来执行。看了栗子就明白了了

<form action="/login" method="POST">
    <p>Username: <input type="text" name="username" /></p>
    <p>Password: <input type="password" name="password" /></p>
    <p><input type="submit" value="登陆" /></p>
</form>

//后端sql可能是
let querySQL = `
    SELECT *
    FROM user
    WHERE username='${username}'
    AND psw='${password}'
`;
// 接下来就是执行 sql 语句...

这是我们经常见到的登录页面,但如果有一个恶意攻击者输入的用户名是 admin' --,密码随意输入,sql语句变成了

SELECT * FROM user WHERE username='admin' --' AND psw='xxxx'

在 SQL 中,' --是闭合和注释的意思,-- 是注释后面的内容的意思,所以查询语句实际就变成了:

SELECT * FROM user WHERE username='admin'

 这时候攻击者拥有了admin权限,内心阴暗的他可能会

获取所有用户信息(姓名、身份证号、银行卡密码)、获取服务器权限、脱库、读取服务器敏感文件........

SQL注入防御

  • 严格限制Web应用的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害

  • 后端代码检查输入的数据是否符合预期,严格限制变量的类型,例如使用正则表达式进行一些匹配处理。

  • 对进入数据库的特殊字符('"\<>&*; 等)进行转义处理,或编码转换。基本上所有的后端语言都有对字符串进行转义处理的方法,比如 lodash 的 lodash._escapehtmlchar 库。

  • 所有的查询语句建议使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中,即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。

  • 在应用发布之前建议使用专业的 SQL 注入检测工具进行检测,以及时修补被发现的 SQL 注入漏洞。网上有很多这方面的开源工具,例如 sqlmap、SQLninja 等。

  • 避免网站打印出 SQL 错误信息,比如类型错误、字段不匹配等,把代码里的 SQL 语句暴露出来,以防止攻击者利用这些错误信息进行 SQL 注入。

  • 不要过于细化返回的错误信息,如果目的是方便调试,就去使用后端日志,不要在接口上过多的暴露出错信息,毕竟真正的用户不关心太多的技术细节,只要话术合理就行。

总之涉及操作数据库的代码都要慎重,不然你可能会让公司承受巨大经济损失 

流量劫持

1.HTTP 流量劫持

介绍:对于web端来说,比较多见的就是http流量劫持,因为 HTTP 属于明文协议,中间链路上的任意设备,都可以篡改内容,没有办法对通信对方的身份进行校验以及对数据完整性进行校验导致流量劫持。

HTTP 劫持主要是当用户访问某个站点的时候会经过运营商网络,而不法运营商和黑产勾结能够截获 HTTP 请求返回内容,并且能够篡改内容,然后再返回给用户,从而实现劫持页面,轻则插入小广告,重则直接篡改成钓鱼网站页面骗用户隐私。

防御:https

2.DNS 劫持

介绍:DNS 的作用是把网络地址域名对应到真实的计算机能够识别的 IP 地址,以便计算机能够进一步通信,传递网址和内容等。如果当用户通过某一个域名访问一个站点的时候,被篡改的 DNS 服务器返回的是一个恶意的钓鱼站点的 IP,用户就被劫持到了恶意钓鱼站点,然后继而会被钓鱼输入各种账号密码信息,泄漏隐私。

这类劫持,要不就是网络运营商搞的鬼,一般小的网络运营商与黑产勾结会劫持 DNS,要不就是电脑中毒,被恶意篡改了路由器的 DNS 配置,基本上做为开发者或站长却是很难察觉的,除非有用户反馈,如果接到有 DNS 劫持的反馈,要做好以下几件事:

  • 取证很重要,时间、地点、IP、拨号账户、截屏、URL 地址等一定要有。
  • 可以跟劫持区域的电信运营商进行投诉反馈。
  • 如果投诉反馈无效,直接去工信部投诉,一般来说会加白你的域名。

具体关于流量劫持这块我也不是很明白,具体可以看下这篇文章《浅谈流量劫持与防治》

 

易-水寒
关注
专栏目录
Web安全实验.docx
09-30
课程实操
一个后台基于数据库配置sql的通用查询接口
kd_bright的博客
04-21 1028
【代码】一个后台基于数据库配置sql的通用查询接口
SQL注入漏洞[OWASP TOP 1]
luqi5的博客
01-22 399
文章目录一、SQL注入漏洞[OWASP TOP 1]、SQL注入的位置三、常见的防范方法四、sql注入的危害 一、SQL注入漏洞[OWASP TOP 1] 所谓SQL注入,就是通过把SQL命令插入到Web表单中[此处涉及到sql注入的点]提交最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有的web应用程序,将(恶意的)SQL命令注入到后台数据库引擎,它可以通过在Web表单中输入(恶意) SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句. 、SQL注入
Web常见漏洞描述及修复建议
网络安全
05-02 2312
漏洞描述Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。修复建议代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供参数化查询接口参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。
周作业
qq_44632749的博客
03-18 193
1.了解掌握使用Burp Suite Burp Suite 安装和环境配置 Burp Suite代理和浏览器设置 看了那《Burp Suite》感觉还不错,就是在安装的时候出了些小插曲,不过,成就感满满。 2.sql注入漏洞的预习(大概了解,感觉好难,好蒙) ①sql注入漏洞产生的原理是因为服务器对用户输入参数过滤不严格,将含有恶意代码的参数代入数据库查询语句中并执行。 ② sql注入中常用的函数...
MySQL数据库——常用数据库访问接口简介,数据库的种类有哪些?
Itmastergo的博客
03-31 3152
不同的程序设计语言会有各自不同的数据库访问接口,程序语言通过这些接口,执行 SQL 语句,进行数据库管理。主要的数据库访问接口主要有ODBC、JDBC、ADO.NET 和 PDO。
Web安全攻防:渗透测试实战指南 (徐焱)
最新发布
08-24
Web安全攻防:渗透测试实战指南 (徐焱)
web安全前端编码规范1
08-04
Web安全前端编码规范详解》 在Web应用开发中,前端的安全性同样至关重要。本文将详细阐述《Web安全前端编码规范》,旨在提升Web应用的安全性,预防潜在的攻击风险。 一、项目设计阶段的安全考虑 在项目初始设计...
白帽子讲Web安全 pdf
11-27
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
浅谈SQL注入漏洞原理及利用方式
weixin_62369433的博客
11-15 2512
帮助读者快速理解SQL注入漏洞,更好的做出修复
参数化查询
何静媛
03-27 5828
众所周知,参数化查询有许多好处,例如可以防止SQL注入,提高查询效率等,那么参数化查询为什么就可以解决这些问题呢? 1,参数化查询防止SQL注入 参数化查询顾名思义就是我们写好需要的参数,然后直接给参数赋值,这就好比是一个sql的框架。sql查询的时候会进行参数分析,如果分析的结果是我们曾使用过这样的框架,那么sql会重用查询计划,否则会重新生成一个查询计划,当然此时的sql的语义肯定
SQL(参数化)的查询
07-30 5348
什么是参数化查询? 一,定义 参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可
SQL参数化查询
热门推荐
zyw_anquan的专栏
03-26 4万+
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行处理,但
使用SqlCommand参数化查询数据库
vAction的专栏
11-19 4320
原SQL:SELECT ID  FROM SmsGuest WHERE (Type = @UserType) AND (UserName = @UserName)     //-----------------------------------------------------------                             using (SqlConnecti
参数化查询(简单举例)
weixin_30602505的博客
12-04 180
这几天在查一些有关SQL语句防注入的资料,敲敲改改总算弄好了,不多说,贴代码 string str = @"server=LAPTOP-CM9CUARS;Integrated Security=SSPI;database=Space;"; using (SqlConnection Conn = new SqlConnection(str)) ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值