防URL参数攻击方案

最新推荐文章于 2021-03-19 22:46:14 发布
最新推荐文章于 2021-03-19 22:46:14 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: 架构与设计 WEB开发 .NET(C#) 文章标签: url httpmodule delete action 加密 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spanzhang/article/details/292146
版权

本文属spanzhang原创,其blog地址为:http://blog.csdn.net/spanzhang。引用或转贴请注明出处,谢谢!!

现在的网站基本上都有后台数据库,而这个东东也就成了攻击的重点。从URL传入特殊参数成为了一种常用的攻击手段,就是对那些为了提高搜索率做了简单URL重写的网页也一样。我下面给出的解决方案基本上能解决受到攻击的危险,但也有一些小小的弊端。

Yes,最容易想到的方法就是不要将URL参数在客户端显示出来。但这基本上是不可能的,倒不是技术上行不通,是因为操作起来会把人累死,而且程序结构(可读性)会受到严重威胁。折中的办法就是将URL参数部分加密,这样就可以杜绝攻击者对URL做文章了,同时网页的搜索率不会受到太大的影响,但网页的URL将不再好记。一个简单的示例如下:
http://192.168.0.1/app1/editProfile__AsamrlDcFZr0a0eTdqX0U0U8c81rzSzfBgYJCf6iQXB.aspx

其中,双下划线“__”是分割符号,后面的AsamrlDcFZr0a0eTdqX0U0U8c81rzSzfBgYJCf6iQXB是加密了的参数列表,解密出来后为userId=13972&action=delete。上面的URL将被transfer到:
http://192.168.0.1/app1/editProfile.aspx?userId=13972&action=delete

另外,关于URL Rewriting,你可以使用HttpModule,也可以使用404错误来dispatch你的页面。

张友邦
关注
专栏目录
开发技术 Web开发,url注入
11-09
这段程序是针对各业务系统通过URL进行越权注入进行控制的脚本
网站止CC攻击的方法
hnyuandian的专栏
12-13 679
CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。   CC攻击攻击技术含量低,利用工具和一些IP代理,一个初、中级的电脑水平的用户就能够实施攻击。不过,如果了解了CC攻击的原理,那就不难针对CC攻击实施一些有效的范措施。
什么是XSS攻击?如何制作XSS攻击?如何御XSS攻击?
Jack章臣的博客
07-30 449
什么是XSS攻击https://baike.baidu.com/item/XSS%E6%94%BB%E5%87%BB/954065?fr=aladdin 如何制作XSS攻击?如何御XSS攻击? https://zhuanlan.zhihu.com/p/26177815 前端如何止XSS攻击https://tech.meituan.com/2018/09/27/fe-security.html ...
如何止通过url攻击_如何通过更好的URL结构改善网站SEO排名
weixin_39883462的博客
12-06 247
  URL是有效的SEO策略不可或缺的一部分。它们被视为网站在互联网上轻松被访问的关键因素之一。  网站的URL应以符合逻辑结构的一致方式进行定义。选定的URL结构应反映网站内容的组织方式,并且包含访问者用来查找站点的关键词。  这就是为什么它如此重要以至于要注意网站的URL。  本篇文章专门介绍URL结构的实践。本文bluehost美国主机小编将提供七个建议,以了解如何创建长期的URL结构,并对...
跨站Script攻击
南三方---网站设计开发录
01-24 690
跨站Script攻击范   第一部分:跨站Script攻击每当我们想到黑客的时候,黑客往往是这样一幅画像:一个孤独的人,悄悄进入别人的服务器中,进行破坏或者窃取别人的秘密资料。也许他会更改我们的主页,甚者会窃取客户的信用卡号和密码。另外,黑客还会攻击访问我们网站的客户。与此同时,我们的服务器也成了他的帮凶。微软称这种攻击为“跨站script”攻击。而这种攻击大多数都发生在网站动态产生网页的时侯
javascript通过url向jsp页面传递中文参数导致乱码解决方案
10-27
因此,当URL参数中包含中文时,如果后端JSP页面没有设置正确的字符编码,就会导致乱码。 为了彻底解决这个问题,有以下两种编码方法: 1. 在JavaScript端对URL进行两次编码。 2. 在JSP端对参数进行一次解码。 ...
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
本文档提供了一个具体的解决方案示例,主要通过在请求参数中实施过滤与字符转义来止XSS攻击。 - **Web.xml配置**:配置一个名为`XssSqlFilter`的过滤器,该过滤器会处理所有HTTP请求。 ```xml <filter-name>...
Web应用护系统详细招标参数.docx
最新发布
12-13
Web应用护系统是一种专门设计用于保护在线应用程序免受各种攻击的安全解决方案。该系统的主要目标是增强Web服务的安全性,止诸如SQL注入、跨站脚本(XSS)、缓冲区溢出、恶意爬虫和DDoS攻击等常见威胁。以下是...
asp.net URL中包含中文参数造成乱码的解决方法
10-29
- **HttpUtility.UrlEncode**:使用特定编码(如GBK)对URL参数进行编码,这样接收方无需解码即可正确处理中文参数。这是最理想的方法,尤其适用于未知目标系统的场景。 4. **具体解决方案**: 可以编写一个函数...
javascritp添加url参数参数加入到url中.docx
01-19
- **Stack Overflow**:一个非常活跃的技术问答社区,可以在其中找到许多关于 URL 处理的具体问题和解决方案。 通过上述知识点的学习和理解,你可以更好地掌握如何使用 JavaScript 动态地修改 URL 地址中的查询...
图解HTTP 十一、Web的攻击技术
ziggy7的博客
12-01 317
针对Web的攻击技术  互联网的攻击大多是冲着Web站点来的。 HTTP不具备必要的安全功能  HTTP在安全性方面较为劣势。 在客户端可篡改请求   针对Web应用的攻击模式 ●主动攻击攻击者直接访问Web应用,把攻击代码传入。需要攻击者能够访问那些资源。如SQL注入和OS命令注入攻击。 ●被动攻击:是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程,攻击者不直接对目标Web应用访问发起攻击。 其余见 https://blog.csdn.net/u010150046/article/detai
闲庭信步聊前端 - 漫谈XSS
大转转FE
12-22 329
闲庭信步聊前端 - 漫谈XSS什么是XSS?众所周知XSS是Cross-Site Scripting(跨站脚本攻击)的简称,但是英文的缩写明明是CSS为什么叫XSS呢?———历史遗留问题...
phpurl注入漏洞,php安全模式及alluow_url_open注入漏洞
weixin_42188512的博客
03-19 863
php safe_mode 是否开启?safe_mode 设置成 on 会影响哪些函数的使用?fopen() 检查被操作的目录是否与正在执行的脚本有相同的 UID(所有者)。mkdir() 检查被操作的目录是否与正在执行的脚本有相同的 UID(所有者)。rmdir() 检查被操作的目录是否与正在执行的脚本有相同的 UID(所有者)。rename() 检查被操作的文件或目录是否与正在执行的脚本有...
WEB安全编程(止黑客攻击第一道关卡)
05-02 2575
整理一: 文章从实际的 JSP 例子出发,尽力解释安全问题产生的原因。这些例子代码是本人初学 JSP,也是许多人在开始学习 JSP 时容易编写的问题代码。代码看起来并没有什么问题,但是往往存在巨大的漏洞。例子虽然简单,却很能说明问题。文章将用 6 个例子,分别讲述 6 种 Web 攻击手段及原理,以及程序员需要从哪些方便进行御。可以从图片介绍中查看效果。讲解 6 种 Web 漏洞的顺序如下表,
怎么止别人js代码攻击
qq_43287488的博客
09-27 3136
什么是XSS js代码攻击也就是XSS(Cross Site Scripting)攻击,全称为跨站脚本攻击。为了和CSS(Cascading Style Sheet)区分,故称为XSS。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScr...
目录遍历攻击
热门推荐
sweetgirl520的博客
01-08 1万+
目录遍历攻击及如何护 描述 攻击人员通过目录便利攻击可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器API、文件标准权限进行攻击。严格来说,目录遍历攻击并不是一种web漏洞,而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有恰当的访问控制,允许http遍历,攻击者就可以访问受限的目录,并可以在web根目录以外执行命令。 攻击方法 攻击者通
jQuery –拒绝访问受限制的URI –解决方案
一名可爱的技术搬运工
05-21 614
问题 此jQuery错误消息是由加载跨域内容引起的。 Error: [Exception... "Access to restricted URI denied" code: "1012" nsresult: "0x805303f4 (NS_ERROR_DOM_BAD_URI)" 这意味着您正在加载一些不属于您站点或不在您站点上的内容(不同的域名)。 请参阅此jQuery示例以按...
jquery.autocomplete.js使用方法
leigelg的博客
10-19 2653
jquery.autocomplete.js使用方法
url攻击小常识
liupeng20111308043的专栏
08-07 6017
有时候程序员为了偷懒或者是在无意识的情况下缺少了对外部数据的过滤,Web安全习惯上将所有用户输入的数据假定为受污染的数据(即可能带有攻击性的数据),现在比较流行的XSS(跨站脚本攻击)就是利用对用户输入过滤不完全而进行的攻击,因为用户数据过滤不完全会导致很多很多问题,希望读者能够最大限度的注意过滤用户输入。 部分来自转发贴: 介绍几种比较常见的表单及URL攻击方式1)表单数据泄漏攻击 这个一般
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值