跨域、sql注入、xss攻击

最新推荐文章于 2024-08-18 17:25:38 发布
最新推荐文章于 2024-08-18 17:25:38 发布
阅读量833 收藏 1
点赞数
分类专栏: 脚本注入 sql注入问题

原文地址1:http://www.cnblogs.com/webclz/p/4159577.html 和

原文地址2:http://breezylee.iteye.com/blog/2063615整合而成


这几天遇到这三个问题,现在简单的记录下来。

1、跨域

    如我服务器的域名是www.test1.com,我在另一个服务器www.test2.com通过ajax访问www.test1.com的数据时,就引起跨域的问题,提示错误 No 'Access-Control-Allow-Origin' header is present on the...

    网上有很多文章,可以搜索下。http://blog.csdn.net/liruxing1715/article/details/18707605   http://twlidong.github.io/blog/2013/12/22/kua-yuan-zi-yuan-gong-xiang-cross-origin-resource-sharing-cors/

    jquery已经考虑到了这个问题,在ajax中封装了应对跨域的方法。参考上面黏出的第一个链接,我解决了问题。

2、xxs攻击  xss表示Cross Site Scripting(跨站脚本攻击),通过插入恶意脚本,实现对用户游览器的控制

   假如用户提交的数据含有js代码,不做任何处理就保存到了数据库,读出来的时候这段js代码就变成了可执行的代码,将会产生意向不到的效果。一般用户提交的数据永远被认为是不安全的,在保存之前要做对应的处理。这次我就遇到了这个问题,

   我提交的内容<script>alert(1111)</script>,或者<a href="www.baidu.com">百度</a>,读出来的时候,将直接弹出1111,或者百度是有效的超链接,这个显然是不行的。

  

关于xss的概念和解决方案网上很多,可以参考这个:

http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen

这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。

解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。

其中,输入时的过滤是用一个filter来实现,

实现过程:

在web.xml加一个filter

Xml代码   收藏代码
  1. <filter>  
  2.         <filter-name>XssEscape</filter-name>  
  3.         <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>  
  4.     </filter>  
  5.     <filter-mapping>  
  6.         <filter-name>XssEscape</filter-name>  
  7.         <url-pattern>/*</url-pattern>  
  8.         <dispatcher>REQUEST</dispatcher>  
  9.     </filter-mapping>  

XssFilter 的实现方式是实现servlet的Filter接口

Java代码   收藏代码
  1. package cn.pconline.morden.filter;  
  2.   
  3. import java.io.IOException;  
  4.   
  5. import javax.servlet.Filter;  
  6. import javax.servlet.FilterChain;  
  7. import javax.servlet.FilterConfig;  
  8. import javax.servlet.ServletException;  
  9. import javax.servlet.ServletRequest;  
  10. import javax.servlet.ServletResponse;  
  11. import javax.servlet.http.HttpServletRequest;  
  12.   
  13. public class XssFilter implements Filter {  
  14.       
  15.     @Override  
  16.     public void init(FilterConfig filterConfig) throws ServletException {  
  17.     }  
  18.   
  19.     @Override  
  20.     public void doFilter(ServletRequest request, ServletResponse response,  
  21.             FilterChain chain) throws IOException, ServletException {  
  22.         chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
  23.     }  
  24.   
  25.     @Override  
  26.     public void destroy() {  
  27.     }  
  28. }  

 关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法,如:

Java代码   收藏代码
  1. package cn.pconline.morden.filter;  
  2.   
  3. import javax.servlet.http.HttpServletRequest;  
  4. import javax.servlet.http.HttpServletRequestWrapper;  
  5.   
  6. import org.apache.commons.lang3.StringEscapeUtils;  
  7.   
  8. public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
  9.   
  10.     public XssHttpServletRequestWrapper(HttpServletRequest request) {  
  11.         super(request);  
  12.     }  
  13.   
  14.     @Override  
  15.     public String getHeader(String name) {  
  16.         return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
  17.     }  
  18.   
  19.     @Override  
  20.     public String getQueryString() {  
  21.         return StringEscapeUtils.escapeHtml4(super.getQueryString());  
  22.     }  
  23.   
  24.     @Override  
  25.     public String getParameter(String name) {  
  26.         return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
  27.     }  
  28.   
  29.     @Override  
  30.     public String[] getParameterValues(String name) {  
  31.         String[] values = super.getParameterValues(name);  
  32.         if(values != null) {  
  33.             int length = values.length;  
  34.             String[] escapseValues = new String[length];  
  35.             for(int i = 0; i < length; i++){  
  36.                 escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
  37.             }  
  38.             return escapseValues;  
  39.         }  
  40.         return super.getParameterValues(name);  
  41.     }  
  42.       
  43. }  

到此为止,在输入的过滤就完成了。

 

在页面显示数据的时候,只是简单地用fn:escapeXml()对有可能出现xss漏洞的地方做一下转义输出。

复杂内容的显示,具体问题再具体分析。

 

另外,有些情况不想显示过滤后内容的话,可以用StringEscapeUtils.unescapeHtml4()这个方法,把StringEscapeUtils.escapeHtml4()转义之后的字符恢复原样。


  

3、sql注入攻击    SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的

    我用的PDO连接,但是如果不用参数绑定的话,是依然可以sql注入的。应该多注意使用绑定参数!

努力lshdnks
关注
专栏目录
XSS、CSRF 及 SQL注入攻击及防御
HZ___ZH的博客
12-11 543
一.XSS 1.什么是XSS XSS 攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并进行操作。 窃取Cookie。 监听用户行为,比如输入账号密码后直接发送到黑客服务器。 修改 DOM 伪造登录表单。 在页面中生成浮窗广告。 2.XSS 攻击的实现有三种方式——存储型、反射型和文档型 存储型 存储型的 XSS 将脚本存储到了服务端的数据库,然后在客户端执行这些脚本,从而达到攻击的效果。 例如:留言评论区提交一段脚本代码 反射型 反射型XSS指的是恶意脚本作为网
springboot-防止sql注入xss攻击,cros恶意访问
热门推荐
2010yhh
11-25 4万+
springboot-防止sql注入xss攻击,cros恶意访问 文章目录springboot-防止sql注入xss攻击,cros恶意访问1.sql注入2.xss攻击3.csrf/cros 完整代码下载链接: https://github.com/2010yhh/springBoot-demos.git 环境 idea2018,jdk1.8, springboot版本:springboot1...
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
介绍了XSS跨域攻击在web项目中的防范,基于antisamy技术。
内网安全:跨域攻击
最新发布
8888的博客
08-18 1442
mimikatz kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi。Kerberos::golden /user:administrator /domain:当前域名 /sid:当前SID /sids:目标域SID519 /krbtgt:krbtgt散列 /ptt。查看当前域中计算机的权限。
XSS(跨域脚本攻击)
m0_52244931的博客
10-23 3985
XSS(跨域脚本go攻击
【web】XSS跨域脚本攻击
m0_45406092的博客
02-25 666
文章目录1. 概念2. Reflected XSS3. Stored XSS4. DOM-XSS5. XSS危害和预防 1. 概念 XSS:全称是跨域脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 XSS攻击分为三种,分别是: Reflected XSS(基于反射的XSS攻击) Stored XSS(基于存储的XSS攻击) DOM-based or local XSS(基于DOM或
SQL注入与简单的XSS
captainyuxiaoyu的博客
03-28 1796
SQL注入的基本套路 本博客仅用于学习,只是一份网络安全的入门学习笔记 1)测试交互方法,判断浏览器提交数据和web服务器的交互方式 +get提交 提交的数据在url中显示 +post提交(表单提交) 没有在url中显示 2)判断提交变量的数据类型 +整形(int类型) id = 1 and 1=2 //让提交数据为false(假) 有交互显示则为整型(即输入后与加and之前显示的不一样)...
Nginx+Naxsi(web防火墙)防止XSS和SQL注入攻击的解决方案
07-24 2066
Naxsi是一个开放源代码、高效、低维护规则的Nginx web应用防火墙(Web Application Firewall)模块。Naxsi的主要目标是加固web应用程序,以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。 1、下载并解压nginx及naxsi文件 # cd /usr/local/src/ # wget http://nginx.org/download/ng...
Django如何实现防止XSS攻击
12-16
一、什么是XSS攻击 xss攻击:—–>web注入  xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。  我们常常听到“注入”(Injection...
XSS跨域站点攻击antisamy解决策略文件
10-17
包含常用策略xml文件:antisamy-slashdot-1.4.4.xml、antisamy-ebay-1.4.4.xml、antisamy-anythinggoes-1.4.4.xml、antisamy-tinymce-1.4.4.xml
XSS跨域脚本攻击 攻击——防御 策略分析
weixin_43947156的博客
05-27 168
http://www.xinyueseo.com/websecurity/79.html
Spring--跨作用域的依赖注入方案:方法注入
m0_67975400的博客
08-14 96
当一个singleton bean需要注入多个prototype bean实例时,可能会产生一个问题:singleton bean只会初始化一次,只有在初始化的时候才会去解析依赖项并注入它,所以只会有唯一的prototype bean实例被注入到singleton bean中。要想给singleton bean注入多个prototype bean实例,方法注入是一个不错的解决法案。
XSS和跨域请求
qq_48829044的博客
06-19 1102
XSS与同源策略
跨域攻击XSS防御
无界编程
09-26 4971
Java的view层可以使用EL和JSTL后端的ModelAndView增加mv.addObject("xss", "alert(\"test\")");View页面${xss}  c:out 有个缺省属性escapeXML="true" 将会对特色字符如 ‘‘ ‘&‘ 等进行转义,而EL表达式则不会。
基于Filter的跨域 做sql xss 攻击
hhjjjjjjh的博客
05-28 118
config配置 ** * 基于Filter的跨域 做sql xss 攻击 */ @WebFilter //@Configuration @Component public class CrosXssFilter implements Filter { private static final Logger logger = LoggerFactory.getLogger(CrosXssFilter.class); @Override public void init(Filt
跨域方法总结
杨森源的博客
12-03 2675
最近面试问的挺多的一个问题,就是JavaScript的跨域问题。在这里,对跨域的一些方法做个总结。由于浏览器的同源策略,不同域名、不同端口、不同协议都会构成跨域;但在实际的业务中,很多场景需要进行跨域传递信息,这样就催生出多种跨域方法。具备src的标签 原理:所有具有src属性的HTML标签都是可以跨域的 在浏览器中,<script>、<img>、<iframe>和<link>这几个标签是可以加载跨
前端安全性问题——XSS跨域脚本攻击
godming的博客
12-06 559
XSS跨域脚本攻击 安全圈内有一句非常有名的话:所有的输入都是有害的!这句话把XSS漏洞的本质体现的淋漓尽致。 原理 无需登录认证,核心原理就是向你的页面注入脚本。 反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。 存储型:存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务端...
Yii框架防止SQL注入XSS攻击技术笔记
SQL注入允许攻击者通过操纵输入数据来执行恶意SQL语句,而XSS攻击则是通过在用户的浏览器上执行恶意脚本来窃取信息或破坏用户体验。 1. 防止SQL注入: - 当处理用户输入时,应始终使用预处理语句(例如:PDO的`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值