常见Web安全漏洞--微服务及解决思路

XSS攻击

什么是XSS攻击手段

XSS攻击使用Javascript脚本注入进行攻击

例如在提交表单后，展示到另一个页面，可能会受到XSS脚本注入，读取本地cookie远程发送给黑客服务器端。

<script>alert('sss')</script>

<script>window.location.href='http://www.baidu.com';</script>

对应html源代码: &lt;script&gt;alert('sss')&lt;/script&gt;

最好使用火狐浏览器演示效果

如何防御XSS攻击

将脚本特殊字符，转换成html源代码进行展示。

汉子编码http://www.mytju.com/classcode/tools/encode_gb2312.asp

步骤：编写过滤器拦截所有getParameter参数，重写httpservletwrapp方法

将参数特殊字符转换成html源代码保存.

// 重写HttpServletRequestWrapper 防止XSS攻击

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

      private HttpServletRequest <u>request</u>;



      /**

       * @param request

       */

      public XssHttpServletRequestWrapper(HttpServletRequest request) {

            super(request);

            this.request = request;

      }



      @Override

      public String getParameter(String name) {

            // 过滤getParameter参数 检查是否有特殊字符

            String value = super.getParameter(name);

            System.out.println("value:" + value);

            if (!StringUtils.isEmpty(value)) {

                  // 将中文转换为字符编码格式，将特殊字符变为<u>html</u>源代码保存

                  value = StringEscapeUtils.escapeHtml(value);

                  System.out.println("newValue:" + value);

            }

            return value;

      }



}

---

SQL注入攻击

什么是SQL注入

利用现有应用程序，将（恶意）的SQL命令注入到后台数据库执行一些恶意的操作。

造成SQL注入的原因是因为程序没有有效过滤用户的输入，使攻击者成功的向服务器提交恶意的SQL查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码

SQL注入防攻击手段

不要使用拼接SQL语句方式、最好使用预编译方式，在mybatis编写sql语句的时候，最好使用?传参数方式，不要使用#传参数，因为#传参数方式，可能会受到sql语句攻击。

MyBatis #与?区别

#{}: 解析为一个 JDBC 预编译语句（prepared statement）的参数标记符，一个 #{ } 被解析为一个参数占位符,可以防止SQL注入问题。

${}: 仅仅为一个纯碎的 string 替换，在动态 SQL 解析阶段将会进行变量替换。

---

Http请求防盗链

什么是防盗链

比如A网站有一张图片，被B网站直接通过img标签属性引入，直接盗用A网站图片展示。

如何实现防盗链

判断http请求头Referer域中的记录来源的值，如果和当前访问的域名不一致的情况下，说明该图片可能被其他服务器盗用。
使用过滤器判断请求头Referer记录请求来源

---

CSRF攻击

CSRF攻击产生的原因

（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session
Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用也就是人们所知道的钓鱼网站。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

防御CSRF攻击手段

使用图形验证码防止机器模拟接口请求攻击，在调用核心业务接口时，比如支付、下单、等接口，最好使用手机短信验证验证或者是人脸识别，防止其他用户使用Token伪造请求。

---

幂等

什么是幂等问题

就是一个用户对于同一个操作发起一次或多次的请求，请求的结果一致。不会因为多次点击而产生多条数据。

发生原因：由于重复点击或者网络重发，或者 nginx 重发等情况会导致数据被重复提交

解决办法

集群环境

采用 token 加 redis（redis 单线程的，处理需要排队）

单 JVM 环境

采用 token 加 redis 或 token 加 jvm 内存

处理流程

数据提交前要向服务的申请 token，token 放到 redis 或 jvm 内存，token 有效时间
提交后后台校验 token，同时删除 token，生成新的 token 返回

---

上传文件漏洞

漏洞描述

上传漏洞这个顾名思义，就是攻击者通过上传木马文件，直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严，可以直接提交修改过的数据绕过扩展名的检验。

漏洞危害

1. 可以得到WEBSHELL
2. 上传木马文件，可以导致系统瘫痪