安全检测,第三方劫持,SQL盲注等(vue3项目举例)

最新推荐文章于 2024-03-29 16:16:44 发布
最新推荐文章于 2024-03-29 16:16:44 发布
阅读量317 收藏
点赞数
分类专栏: Vue 文章标签: 安全 sql web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42264793/article/details/121910492
版权

安全检测,第三方劫持,SQL盲注等

安全检测

常见Web应用安全问题:

1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)
2、SQL注入攻击(SQL injection)
3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
4、目录遍历(Directory traversal)
5、文件包含(File inclusion)
6、脚本代码暴露(Script source code disclosure)
7、Http请求头的额外的回车换行符注入(CRLF injection/HTTP response splitting)
8、跨帧脚本攻击(Cross Frame Scripting)
9、PHP代码注入(PHP code injection)
10、XPath injection
11、Cookie篡改(Cookie manipulation)
12、URL重定向(URL redirection)
13、Blind SQL/XPath injection for numeric/String inputs
14、Google Hacking

SQL盲注

首先,注入攻击的本质,是把用户输入的数据当做代码执行

这里有两个关键条件:
1、用户能够控制输入,
2、原本程序要执行的代码,拼接了用户输入的数据。
more and more 百度搜索SQL盲注一大堆,在这里不说了;

vue3项目举例

技术栈 : vue3、axios

main.js添加:


import axios from "axios";
import qs from "qs";
import sign from 'sign';

//配置axios拦截器  拦截所有请求添加参数签名
axios.interceptors.request.use(config => {
    //1 post 请求
    let dataStr = config.data?config.data:null;
    let data = qs.parse(dataStr);
    
    //2 get 请求
    let params = config.params?config.params:null;

    let url = config.url.includes('?')? config.url.split('?')[1]:'';
    let urlParams ={};
    if(url){
        urlParams = qs.parse(url)
    }

    let obj = Object.assign(urlParams, params, data);

    let salt = "自己写点小编码";//私钥

    //3 参数签名
    let sign = sign(obj, salt);
    config.params = Object.assign({}, params, {sign});
    return config;
}, err => {
    return Promise.reject(err)
});

sign文件代码分享


function SHA1 (msg) {
    function rotate_left(n,s) {
        var t4 = ( n<<s ) | (n>>>(32-s));
        return t4;
    }

    function cvt_hex(val) {
        var str="";
        var i;
        var v;
        for( i=7; i>=0; i-- ) {
            v = (val>>>(i*4))&0x0f;
            str += v.toString(16);
        }
        return str;
    }

    function Utf8Encode(string) {
        string = string.replace(/\r\n/g,"\n");
        var utftext = "";
        for (var n = 0; n < string.length; n++) {
            var c = string.charCodeAt(n);
            if (c < 128) {
                utftext += String.fromCharCode(c);
            }
            else if((c > 127) && (c < 2048)) {
                utftext += String.fromCharCode((c >> 6) | 192);
                utftext += String.fromCharCode((c & 63) | 128);
            }
            else {
                utftext += String.fromCharCode((c >> 12) | 224);
                utftext += String.fromCharCode(((c >> 6) & 63) | 128);
                utftext += String.fromCharCode((c & 63) | 128);
            }
        }
        return utftext;
    }

    var blockstart;
    var i, j;
    var W = new Array(80);
    var H0 = 0x67452301;
    var H1 = 0xEFCDAB89;
    var H2 = 0x98BADCFE;
    var H3 = 0x10325476;
    var H4 = 0xC3D2E1F0;
    var A, B, C, D, E;
    var temp;
    msg = Utf8Encode(msg);
    var msg_len = msg.length;
    var word_array = new Array();
    for( i=0; i<msg_len-3; i+=4 ) {
        j = msg.charCodeAt(i)<<24 | msg.charCodeAt(i+1)<<16 |
            msg.charCodeAt(i+2)<<8 | msg.charCodeAt(i+3);
        word_array.push( j );
    }
    switch( msg_len % 4 ) {
        case 0:
            i = 0x080000000;
            break;
        case 1:
            i = msg.charCodeAt(msg_len-1)<<24 | 0x0800000;
            break;
        case 2:
            i = msg.charCodeAt(msg_len-2)<<24 | msg.charCodeAt(msg_len-1)<<16 | 0x08000;
            break;
        case 3:
            i = msg.charCodeAt(msg_len-3)<<24 | msg.charCodeAt(msg_len-2)<<16 | msg.charCodeAt(msg_len-1)<<8  | 0x80;
            break;
    }
    word_array.push( i );
    while( (word_array.length % 16) != 14 ) word_array.push( 0 );
    word_array.push( msg_len>>>29 );
    word_array.push( (msg_len<<3)&0x0ffffffff );
    for ( blockstart=0; blockstart<word_array.length; blockstart+=16 ) {
        for( i=0; i<16; i++ ) W[i] = word_array[blockstart+i];
        for( i=16; i<=79; i++ ) W[i] = rotate_left(W[i-3] ^ W[i-8] ^ W[i-14] ^ W[i-16], 1);
        A = H0;
        B = H1;
        C = H2;
        D = H3;
        E = H4;
        for( i= 0; i<=19; i++ ) {
            temp = (rotate_left(A,5) + ((B&C) | (~B&D)) + E + W[i] + 0x5A827999) & 0x0ffffffff;
            E = D;
            D = C;
            C = rotate_left(B,30);
            B = A;
            A = temp;
        }
        for( i=20; i<=39; i++ ) {
            temp = (rotate_left(A,5) + (B ^ C ^ D) + E + W[i] + 0x6ED9EBA1) & 0x0ffffffff;
            E = D;
            D = C;
            C = rotate_left(B,30);
            B = A;
            A = temp;
        }
        for( i=40; i<=59; i++ ) {
            temp = (rotate_left(A,5) + ((B&C) | (B&D) | (C&D)) + E + W[i] + 0x8F1BBCDC) & 0x0ffffffff;
            E = D;
            D = C;
            C = rotate_left(B,30);
            B = A;
            A = temp;
        }
        for( i=60; i<=79; i++ ) {
            temp = (rotate_left(A,5) + (B ^ C ^ D) + E + W[i] + 0xCA62C1D6) & 0x0ffffffff;
            E = D;
            D = C;
            C = rotate_left(B,30);
            B = A;
            A = temp;
        }
        H0 = (H0 + A) & 0x0ffffffff;
        H1 = (H1 + B) & 0x0ffffffff;
        H2 = (H2 + C) & 0x0ffffffff;
        H3 = (H3 + D) & 0x0ffffffff;
        H4 = (H4 + E) & 0x0ffffffff;
    }
    temp = cvt_hex(H0) + cvt_hex(H1) + cvt_hex(H2) + cvt_hex(H3) + cvt_hex(H4);
    return temp.toLowerCase();
}

/**
 * 生成签名
 * @param 	param {}
 * @returns	sign
 */
function sign (param, salt) {
    var keys = [];
    var str = "";
    if(param) {
        for(let key in param) {
            keys.push(key);
        }
    }
    keys.sort(function(a, b) {
        return a.localeCompare(b);
    });
    
    for(var i= 0; i < keys.length; i++) {
        let key = keys[i];
        var value = param[key];
        str += key;
        if(value != undefined) {
            str += value;
        }
    }
    str += salt;
    return SHA1(str);
}

export default sign;
绅士的可怖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Vue解决V-HTML指令潜在的XSS攻击
caiqian97的博客
03-23 1401
当其他用户进入该网站后,脚本就在用户不知情的情况下偷偷地执行了,这样的脚本可能会窃取用户的信息、修改页面内容、或者伪造用户执行其他操作等等,后果不可估量。发送到Web浏览器的恶意内容通常采用JavaScript代码片段的形式,但也可能包括HTML,Flash或浏览器可能执行的任何其他类型的代码。XSS是一种注入脚本式攻击攻击者利用如提交表单、发布评论等方式将事先准备好的恶意脚本注入到那些良性可信的网站中。三、在vue.config.js或vue-loader.config.js中覆写html指令。
vue 使用axios 数据请求第三方插件的使用教程详解
10-16
主要介绍了vue 使用axios 数据请求第三方插件的使用 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
vue3-electron-vite-ts:使用了vue3、electron、vite、ts
05-08
Vite电子生成器模板 Vite +电子= :fire: 这是用于电子应用的安全模板。 遵循最新的安全要求,建议和最佳实践编写。 引擎盖下使用了超级快,下一代捆绑用于编译的。 默认情况下,该接口使用Vue框架,但是您可以轻松使用任何其他框架,例如React , Preact , Angular , Svelte或其他任何框架。 Vite与框架无关 支持 此模板由维护。 你可以 继续开发此模板。 如果您有想法,问题或建议-欢迎进行。 :smiling_face_with_smiling_eyes: 特征 电子 模板使用具有所有最新安全补丁程序的最新电子版本。 应用程序的体系结构是根据安全建设和最佳实践。 的最新版本用于编译应用程序。 恶毒 Vite用于捆绑所有源代码。 这是一款非常快速的打包机,具有许多强大的功能。 您可以在此视频中了解有关其安排的更多信息。 Vite支持读取.env文件。 我的模板有一个单独的命令来生成带有类型定义您的
vue中node_modules中第三方模块的修改使用详解
10-16
主要介绍了vue中node_modules中第三方模块的修改使用,本文图文并茂给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
vue3使用vue-codemirror插件,实现富文本编辑sql语句
最新发布
xxuxioxx的博客
03-29 941
vue3使用vue-codemirror插件,实现富文本编辑sql语句
Vue.js中Line第三方登录api的实现代码
10-15
主要介绍了Vue.js中Line第三方登录api实现代码,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Vue中使用ElementUI使用第三方图标库iconfont的示例
10-17
主要介绍了Vue中使用ElementUI使用第三方图标库iconfont的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Vue 中如何正确引入第三方模块的方法步骤
10-17
主要介绍了Vue 中如何正确引入第三方模块的方法步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Web前端安全系列之:XSS攻防及Vue防御(万字长文)
绝对零度的博客
10-20 9267
Web 攻击技术的发展也可以分为几个阶段。在Web 1.0时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世–XSS(跨站脚本攻击)。伴随着Web 2.0的兴起,XSS、CSRF等攻击已经变得更为强大。Web攻击的思路也从服务器端转向了客户端,转向了浏览器和用户。
vue中使用v-html防止xss注入
aGreetSmile的博客
06-25 1914
通常我们处理xss攻击会使用一个xss的npm包来过滤xss攻击代码。所以我们要做的就是给指令的value包上一层xss函数。这样我们就能覆盖html指令。这样我们就从源头解决了html指令存在的潜在xss攻击。3.在vue.config.js中覆写html指令。2.引入xss包并挂载到vue原型上。解决html指令存在的xss漏洞问题。
警惕!Vue 代码的 14 个易受攻击
大剑师兰特的GIS世界
02-19 1274
Vue 框架中,哪些地方容易被黑客攻击呢?写代码的时候要注意什么呢?以下是博主总结的一些常见的容易受到攻击的地方。
vue3前端开发框架的安全特性,非常适合现在的市场需求
yrldjsbk的博客
01-30 450
vue3前端开发框架的安全特性,非常适合现在的市场需求!现在几乎所有的前端开发,都是使用的vue3做了开发。下面给大家展示一下。为什么说vue3框架自带安全特性呢。如图,这个是我们在浏览器内看见的,渲染后的数据页面信息。实际上,在查看源代码的时候,是看不见的。如图,查看源代码,只能看见这个东西。里面有一个main.js的脚本文件,这个就是页面数据信息的存储来源。如图,点开查看 这个main.js里面,内容很多。后面那一段字符串的内容,就是加密后的数据信息。所以,Vue3前端开发的项目自带数据保密效果。
vue中引入第三方字体文件的方法示例
10-17
主要介绍了vue中引入第三方字体文件的方法示例,文中讲述了实现方法及其错误的解决,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
前端XSS攻击场景与Vue.js处理XSS的方法:vue-xss
zhangzuying的博客
12-21 3232
在前端开发中,跨站脚本攻击(XSS)是一种常见的安全威胁。本文将介绍前端跨站脚本攻击(XSS)的场景以及在Vue.js框架中如何处理XSS的方法。通过了解这些内容,我们可以更好地保护前端应用程序的安全性,防止恶意攻击。一个开箱即用的Vue.js插件,可通过简单的方式防止XSS攻击
Vue3.0优缺点
renfeideboke的博客
10-11 2440
vue3.0
vue项目如何防范XSS攻击
接着奏乐接着舞的博客
11-16 1661
介绍了实际工作中渲染数据时遇到XSS攻击时的防范措施,以及解决方案。还有XSS攻击的原理、途径以及如何防范
Vue 项目安全扫描漏洞,JS 库版本太低,要求升级 YUI,过程总结
皮蛋很白的博客
04-07 9006
检测到目标站点存在javascript框架库漏洞 - YUI2版本引发的安全漏洞解决方案
vue项目安全漏洞扫描和修复
weixin_38551805的博客
03-15 3700
4.启动服务,不出意外的话,vue.config.js 的配置会有报错,因为webpack4和5有一部分的配置不一样。2. 让audit fix安装SemVer-major更新到顶层依赖,而不仅仅是semver兼容的依赖。3.升级后,如果原项目webpack是4,需要升级到webpack5。1.扫描你的项目的漏洞,只显示细节,不修复任何东西。再次启动npm run serve,解决下一个错误。再次启动npm run serve,解决下一个错误。npm audit 返回的漏洞数据来源于。
【RuoYi-Vue-Plus】学习笔记 21 - Mybatis-Plus(三)批量插入功能(上篇)SQL 注入器功能的实现与分析
MichelleChung的星球
04-04 2810
Mybatis-Plus SQL 注入器的实现以及流程分析。
vue3组件使用第三方
05-26
Vue3 中使用第三方库有两种方式: 1. 直接在 Vue3 组件中引入第三方库 可以使用 `import` 语法直接在 Vue3 组件中引入需要的第三方库,例如: ```javascript import { mapActions } from 'vuex' export ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

绅士的可怖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值