开发测试都需要了解的WEB安全攻击与防御

最新推荐文章于 2022-12-13 10:46:05 发布
最新推荐文章于 2022-12-13 10:46:05 发布
阅读量321 收藏
点赞数

WEB安全问题一直是互联网行业最头疼的问题之一,出现这种问题企业一不小心就可能陷入万劫不复的境地,所以不论测试还是开发都需要关注,下面就介绍一下WEB安全中最常见的几种WEB安全攻击和防御,作为测试可以在日常测试中可以通过关注攻击方式来模拟安全测试攻击,作为开发在日常编码中带着防御思路去设计编码,尽量从源头上扼杀安全问题。下面是常见的WEB安全攻击:

SQL脚本注入

简介:SQL脚本注入,就是在请求URL的参数中传入SQL语句,然后导致DAO数据层中的语句+注入的SQL语句连接上DB进行SQL语句的执行;
影响力:轻则表中数据暴露,刷爆数据库,拖慢正常用户的数据请求使用,重则表数据被恶意修改或删除,再或者整个表数据被删除。
攻击情景:http://www.aaa.com/search?title=123 进行标题内容的查询,如果DAO层中的语句使用的是简单的SQL拼接方式:

//DAO
public List<MDatas> search(String title){
    String sqlStr="
        select fields 
        from tablename
        where title title='" + title + "'";
    //下面省略DB相关操作
    //....
}

当我请求数据接口的时候:http://www.aaa.com/search?title=1' or 1=1; 懂点SQL基础的都明白后面的or 1=1 会导致恒true,这个时候就会查出表中所有的数据,此外如果是在后面插入一条删除表等具有攻击性的危险SQL语句,那就做好被删库跑路的准备吧。

防御:
有些语言本身就有这个安全机制,只要传入的参数是有SQL,或者JavaScript会提示危险参数,可以通过配置webconfig,或者路由方法的属性来开启和关闭。
但是最保险的方案还是要自己平时在写DAO的时候要注意,SQL语句不要使用拼接的方式,都使用参数化的方式,这样就不会出现SQL注入的问题了。

//DAO
public List<MDatas> search(String title){
    var sqlStr="
        select fields 
        from tablename
        where title title=@title";
    //下面省略DB相关操作
    //....
}

XSS 跨站脚本攻击

简介:中文名叫跨站脚本攻击,就是在请求URL参数中,或者form提交的内容中注入JavaScript脚本;
影响力:轻则用户体验异常弹窗,重则用户cookie数据被盗取,引导用户到非法地址;
攻击场景:原始正常的请求是这样的:http://www.bbb.com/userinfo/?username=王二&description=二逼青年,

对应的前端 userinfo 视图是这样的:

<!-- 省略顶部 -->
<div>
    <p>@username<p>
    <p>@description</p>
</div>
<!-- 省略底部 -->

当我参数改为:http://www.xx.com/userinfo/?username=王二&description=二逼青年<script type="text/javascript">alert('哈哈')</script>

其实攻击方式很简单,就是在参数后面加上js脚本。

对应的前端 userinfo 视图是这样的:

<!-- 省略顶部 -->
<div>
    <p>王二<p>
    <p>
        二逼青年
        <script type="text/javascript">alert('哈哈')</script>
    </p>
</div>
<!-- 省略底部 -->

这个时候把这个地址分享给别人,他一打开就会弹出一个JS弹窗;
如果这个时候我注入的脚本是获取cookie到我的接口,然后把地址分享给其他的用户,这样就可以通过获取到的cookie模拟用户的登陆了;
form提交就不举例了,也是一样,就是提交的内容里输入JavaScript 脚本,然后绑定内容的时候没有进行处理,这样就会导致上面一样的问题。

防御:在视图绑定数据的时候(前端拼接,或者服务端脚本绑定)需要对数据进行HTML编码
结果如:

<!-- 省略顶部 -->
<div>
    <p>王二<p>
    <p>
        二逼青年
        &lt;script type=&quot;text/javascript&quot;&gt;alert(&#39;哈哈&#39;)&lt;/script&gt;
    </p>
</div>
<!-- 省略底部 -->

CSRF跨站请求伪造

简介:跨站请求伪造,就是当A站用户未退出的情况下,通过其他非法B站发起非法请求来触发A站的请求操作;用户在不知情的请求下被诱导操作。
影响力:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账,个人隐私泄露以及财产安全。
攻击情景:

此图引用hyddd博客


防御:用户进入操作页面的时候绑定令牌到隐藏input,服务端进行令牌的校验,重要的操作,如:提现,充值等需要增加验证码环节。

HTTP劫持

简介:你本来要打开的是正常的百度页面,结果右下角弹出了我是渣渣辉的贪玩蓝月游戏广告。
影响力:注入广告,骚扰误导用户,严重影响体验
攻击情景:在公共场所有很多免费的WIFI,有些免费的WIFI会对HTTP进行劫持,然后修改html注入广告,网络供应商也会进行HTTP劫持 ,如使用移动网络的时候经常会出现移动广告。
防御:可以将页面的请求协议由HTTP升级成HTTPS,这样即便被劫持,由于没有证书无法进行解密,也就无法注入广告了。

DDoS攻击

简介:分布式拒绝服务攻击,俗称洪水攻击,通过木马寄生在用户机子上,当成  肉机,需要的时候发起群攻。
影响力:刷爆服务器,严重会宕机
防御:需要在服务器部署安全防火墙。

本文来自:测试开发栈

软件测试小黑屋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB渗透技术研究与安全防御.docx
06-08
为了有效抵御Web渗透攻击需要采取综合性的安全防御策略。 ##### 3.1 Windows安全设置 - **系统安全设置**:定期更新操作系统补丁,关闭不必要的服务和端口,限制用户权限等。 - **用户安全设置**:实施强密码...
常见Web安全漏洞及测试方法
最新发布
VN520的博客
04-20 1026
1、永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式或限制长度;对单引号和双"-"进行转换等。2、永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。3、永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。4、不要把机密信息直接存放,加密或者Hash掉密码和敏感的信息。5、应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
web安全/渗透测试--1--web安全原则
diaojin6880的博客
09-17 884
web 安全: https://blog.csdn.net/wutianxu123/article/category/8037453/2 web安全原则 安全应该是系统开发之初就考虑的问题。换句话说,安全是一个成熟系统的必备特性。在项目说明中不谈安全,并非因为不需要,而是因为安全都是隐藏的。 安全性设计中的关键问题是挖掘出系统存在的安全漏洞...
Web安全攻防渗透测试
m0_63223219的博客
04-05 6936
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
软件安全测试-Web安全测试详解-CSRF攻击
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-11 1081
CSRF(Cross-Site Request Forgery),跟XSS漏洞攻击一样,存在巨大的危害性。 你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
web安全攻防渗透测试实战指南
jhf223344的博客
04-05 9002
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
WEB安全测试资料汇总.rar
02-13
在IT行业中,Web安全测试是确保网站和应用程序免受恶意攻击和数据泄露的关键环节。"WEB安全测试资料汇总.rar"这个压缩包包含了多种资源,帮助我们深入理解和实践Web安全测试的相关知识。以下是对这些资源的详细解读...
自动化安全开发测试.pdf
08-07
交互式应用程序安全测试(IAST)是一种新型的安全测试方法,它能够介入软件开发的早期阶段,并在不需要大量人力的情况下识别安全漏洞和防御安全攻击。IAST安全测试平台的使用流程包括需求设计、开发测试和维护,...
web安全渗透测试.7z
04-08
【描述】"Web安全渗透测试工具" 指的是用于测试Web应用安全性的各种软件和脚本。这些工具能够帮助安全专家识别常见的Web漏洞,如SQL注入、跨站脚本(XSS)、文件包含漏洞等,并进行自动化或手动的渗透测试。 【标签...
天津理工大学信息安全专业网络攻防实验3-Web攻击防御
11-28
实验名称:Web攻击防御 课程名称:网络攻击防御技术 实验目的: 在本次实验中,主要目标是深入理解Web安全中的一个重要威胁——SQL注入,并掌握利用sqlmap工具进行POST注入攻击的方法。SQL注入是一种常见的黑客...
nishang, Nishang PowerShell测试攻击安全.zip
09-18
nishang, Nishang PowerShell测试攻击安全 Nishang是一个框架和脚本,它允许使用PowerShell安全性。穿透测试和红色组合的脚本。 在渗透测试的所有阶段,Nishang都是有用的。按 nikhil_mitt用法导入当前PowerShell会话( PowerShel
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 1万+
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
web安全攻防渗透测试笔记 (信安一班 李静)
m0_67855254的博客
04-07 1845
第三章sqlmap (1) 安装sqlmap前,需要先安装Python3.X Python Releases for Windows | Python.org (2) 在环境变量path中,增加python3.x 安装路径 (3) 下载sqlmap并解压缩: 地址:sqlmap: automatic SQL injection and database takeover tool Python sqlmap.py -uhttp://xxx.xxx.xxx/ Py...
由于您访问的url有可能对网站造成安全威胁_Web常见安全漏洞-XSS攻击
weixin_39614011的博客
11-21 1万+
XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。XSS是一种常见的web安全漏洞,它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。这个是动态站点的威胁,静态站点完全不受其影响。XSS分类存储型XSS:主要出现在让用户输入数据,供其他浏览此页的用户进行...
由于您访问的url有可能对网站造成安全威胁_网站索引量下降怎么办?
weixin_39792393的博客
11-18 1万+
导致百度索引量下降的常见原因--一、网站方原因 1、内容数据所在的网址url未规范统一 【自己站点url规范统一】 多域名都可以200状态正常访问网页内容;一域名下出现多种url形式可以访问相同内容,如大小写url、url规则变更等。 解决:选择主域名(或主url),其他域名下的所有url都301重定向到主域名(或主url),并站长工具提交域名改版(或目录url改版) 【外部平台使用己站数据】 A...
由于您访问的url有可能对网站造成安全威胁_「网络安全安全设备篇(防火墙、IDS、IPS的区别-UTM-WAF)...
weixin_39594457的博客
11-19 3110
「网络安全安全设备篇(4)——防火墙、IDS、IPS的区别简介:前面三篇文章,针对防火墙、IDS、IPS做了详细介绍,具体内容这里不再赘述,感兴趣的小伙伴可以去看看哦。概念不同防火墙和IPS属于访问控制类产品,而IDS属于审计类产品。我们可以用一个简单的比喻,描述三者的不同和 ...前面三篇文章,针对防火墙、IDS、IPS做了详细介绍,具体内容这里不再赘述,感兴趣的小伙伴可以去看看哦。概念不同防...
访问ECS服务器的网站提示“由于你访问的URL可能对网站造成安全威胁,您的访问被阻断”
热门推荐
一只不正经的程序猿的博客
04-20 8万+
问题描述 用户在访问ECS服务器上的网站时,提示如下错误: 解决方案 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。 如果您在云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。 这是由于云盾的应用防火墙对URL访问判定...
爬虫被锁IP,报“很抱歉,由于您访问的URL有可能对网站造成安全威胁,您的访问被阻断。 您的请求ID是······“
My Struggle
05-12 3万+
昨天,同事让我爬取中国证券监督管理委员会的公墓金的公告,结果没多久就被锁ip了,如下图所示: 结果到了今天早上也还是被锁,那怎么办呢?锁定ip一般都有这几种应对办法: 1、技术处理,调节网页爬虫的请求频率。 2、更换ip,自动更改IP地址反爬虫封锁,支持多线程 3、网络处理,代理访问 事实上,方法一是在出问题前就该考虑的,可以用time.sleep()来解决。但是,现在现在已经被锁了怎么办?我想了半天可以修改ip,最直接的办法就是连接手机热点,这样就不是用公司的ip了。这时候再用方法一,.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值