如何检测SQL注入和CSS攻击漏洞

最新推荐文章于 2024-07-13 12:00:16 发布
最新推荐文章于 2024-07-13 12:00:16 发布
阅读量5.3k 收藏 1
点赞数
分类专栏: js

对于他们的攻击,主要是通过使用正则表达式来做输入检测:

  1. 检测SQL meta-characters的正则表达式 :/(\%27)|(’)|(--)|(\%23)|(#)/ix

    1. 解释:我 们首先检查单引号等值的hex,单引号本身或者双重扩折号。

  2. 修正检测SQL meta-characters的正则表达式: /((\%3D)|(=))[^ ]*((\%27)|(’)|(--)|(\%3B)|(:))/i

    1. 解释: 这个规则首先留意 = 号或它的hex值(%3D),然后考虑零个或多个除换行符以外的任意字符,最后检测单引号,双重破折号或分号。

  3. 典型的 SQL 注入攻击的正则表达式: /w*((\%27)|(’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

    解释:

    1. w* - 零个或多个字符或者下划线。

    2. (\%27)|’ - 单引号或它的hex等值。

    3. (\%6 F)|o|(\%4 F))((\%72)|r|-(\%52) -‘or’的大小写以及它的hex等值

  4. 检测SQL注入,UNION查询关键字的正则表达式: /((\%27)|(’))union/ix

    1. (\%27)|(’) - 单引号和它的hex等值

    2. union - union关键字

    3. 可以同样为其他SQL查询定制表达式,如 >select, insert, update, delete, drop, 等等.

  5. 检测MS SQL Server SQL注入攻击的正则表达式: /exec(s|+)+(s|x)pw+/ix

    1. exec - 请求执行储存或扩展储存过程的关键字

    2. (s|+)+ - 一个或多个的空白或它们的http等值编码

    3. (s|x) p- ‘sp’或‘xp’字母用来辨认储存或扩展储存过程

    4. w+ - 一个或多个字符或下划线来匹配过程的名称


CSS的检测也主要是正则表达式:

  • 一般 CSS 攻击的正则表达式: /((\%3C)|<)((\%2F)|/)*[a-z0-9\%]+((\%3E)|>)/ix

    • 解释:

    • ((\%3C)|<) -检查<和它hex等值

    • ((\%2F)|/)*-结束标签/或它的 hex等值

    • [a-z0-9\%]+ -检查标签里的字母或它hex等值

    • ((\%3E)|>) -检查>或它的hex等值

  • "<img src" CSS 攻击正则表达式: /((\%3C)|<)((\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47))[^ ]+((\%3E)|>)/I

    • 解释:

    • (\%3 C)|<) -<或它的hex等值

    • (\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47) -’img’字母或它的大小写hex等值的变化组合

    • [^ ]+ -除了换行符以外的任何跟随<img的字符

    • (\%3E)|>) ->或它的hex等值

  • CSS 攻击的极端的正则表达式 : /((\%3C)|<)[^ ]+((\%3E)|>)/I

    • 解释:

    • 这个规则简单寻找<+除换行符外的任何字符+>。由于你的web服务器和web应用程序的构架,这个规则可能产生一些错误。但它能保证捉住任何CCS或者类似CSS的攻击。

noxLiu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CSS注入的四种实现方式
qq_68163788的博客
11-12 1937
CSS注入是一种攻击技术,攻击者利用网站或应用程序中存在的安全漏洞,将恶意的CSS代码注入到页面中。这种攻击通常用于窃取用户的敏感信息、执行恶意操作或者破坏网站的外观和功能。 攻击者可以利用CSS注入来修改网页的外观,例如更改文本颜色、字体大小或背景颜色,以误导用户或隐藏恶意操作。此外,攻击者还可以利用CSS注入来执行跨站脚本攻击(XSS),通过注入恶意的CSS代码来执行JavaScript代码,从而窃取用户的信息或者执行其他恶意操作。 为了防止CSS注入攻击,开发人员需要对用户输入进行严格的过滤和验证
HTML+CSS之如何找BUG
sdasadasds的博客
08-05 465
打开控制台方式有两种,一种在浏览器中点击鼠标右键,选择检查,如下图。我们要取消第一个或者最后一个的边框,我们给第一个或最后一个li加class名取消边框,发现取消不了,而且属性和属性值检查了一遍是对的,在控制台中也显示了,只不过被划掉了(注意只是划掉,但没有黄色感叹号),这个时候可能是选择器权重不够。很多刚进入前端行业的小伙伴在写页面的时候,很容易出现错误,这时候很多小伙伴就会一行行查看自己的代码哪里有问题,或者仔细的对比网上代码,这样查看错误很浪费时间,而且陷入了自己的思维里面看不出错误在哪里。...
snort入侵检测系统及CISCO ACL配置
最新发布
weixin_48579910的博客
07-13 989
Snort是一个强大且灵活的网络入侵检测和防御系统,通过数据包捕获、协议分析、内容匹配和攻击检测等功能,提供实时的网络安全监控和保护。通过正确安装和配置Snort,网络管理员可以有效地检测和响应各种网络攻击和安全威胁。Snort的高级功能如流量分析、预处理器插件和入侵防御系统(IPS)进一步增强了其安全保护能力。通过日志记录和报告生成工具,管理员可以深入分析和理解网络安全事件,及时采取应对措施。Cisco ACL是控制网络访问和提高网络安全性的强大工具。
css攻击测试
09-13 323
<script type="text/javascript"> alert("我是警告框!!") </script> 转载于:https://my.oschin...
sql注入攻击详解(一)sql注入原理详解
cetinlo的博客
05-31 1575
一、什么是sql注入呢?         所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过
什么是sql注入_什么是SQL注入攻击?学习如何保护和识别攻击
weixin_39915500的博客
12-05 420
SQL注入 - 或SQLI是一种网络安全攻击,它针对应用程序安全漏洞并允许攻击者控制应用程序的数据库。攻击者将恶意输入输入到SQL语句中,SQL服务器将其作为编程代码读取。某些SQLI攻击可以释放敏感客户数据列表,而其他SQLI攻击则删除部分(或全部)数据库。有些甚至可以远程运行软件应用程序。SQL注入攻击相对容易和普遍。防止和检测SQLI攻击是安全问题的必要方面。一、如何防止SQL注入参数化SQ...
SQL注入漏洞演示源代码
09-13
5. **日志和监控**:了解如何通过记录和分析异常请求来检测和预防SQL注入攻击。 6. **修复策略**:一旦发现SQL注入漏洞,如何进行补救,包括代码审查、漏洞修补和更新安全策略。 通过研究这个源代码,开发者可以...
基于Selenium的SQL注入漏洞检测系统的研究.pdf
09-19
SQL注入漏洞的成因主要是由于Web应用程序在处理用户输入时,未能正确地过滤和处理特殊字符,从而导致攻击者可以 inject恶意的SQL语句。 二、Selenium简介 Selenium是一个开源的自动化测试工具,主要用于Web应用...
360提供的php防sql注入代码修改类
05-02
SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、删除数据库中的敏感信息,甚至完全控制整个系统。为了防止SQL注入,我们需要遵循以下原则: 1. 使用...
XSS & SQL注入
10-30
XSS(Cross-Site Scripting,跨站脚本)和 SQL 注入是两种常见的 Web 安全漏洞。下面将详细介绍 XSS 和 SQL 注入的概念、原理和应用。 什么是 XSS? XSS,或者称为 CSS,代表着跨站脚本。基本上,XSS 意味着你可以...
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)
05-06
本压缩包提供的"PHP开发漏洞环境"是一个专门用于学习和研究这些安全问题的实践平台,包括SQL注入、文件上传、文件下载、XSS跨站脚本攻击、万能密码攻击以及session和cookie管理等多个方面。 1. SQL注入:这是一种...
又见css漏洞!校内网css代码引发的漏洞
静心编程-java-php-jsp-数据库-网站-我们一起成长
05-23 2562
<!--google_ad_client = "pub-1654710028568330";/* 728x90, 创建于 08-5-19 */google_ad_slot = "5790075209";google_ad_width = 728;google_ad_height = 90;//--><script type="text/javascript"src=
关于防止sql注入css注入
Kind&红衣的博客
06-22 931
addslashes()函数和htmlspecialchars()函数addslashes(),向字符串中的预定义字符添加反斜杠进行转义,预定义字符:单引号(')双引号(")反斜杠(\)NULL这样的做法可以预防sql的注入htmlspecialchars(),htmlspecialchars($kind_emailsAdd,ENT_QUOTES);对$lomd_emailsAdd 这个字符串变量...
CSS注入 1.0
好好睡觉
11-09 1749
CSS注入、CSS注入示例
CSS注入 2.0
好好睡觉
01-15 1617
CSS注入实现、CSS注入原理、
SQL注入CSS攻击检测
10-21 1462
作者:K. K. Mookhey , Nilesh Burghate,翻译:FPX[B.C.T] 1. 介绍在 最后两年中,安全专家应该对网络应用层的攻击更加重视。因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有 遵循安全代码进行开发,攻击者将通过80端口进入你的系统。广泛被使用的两个主要攻击技术是SQL注入[ref 1] 和CSS[ref 2] 攻击
web渗透--63--CSS注入
武天旭的博客
09-23 2807
1、漏洞描述 CSS注入漏洞涉及在受信任的网站的上下文中注入任意CSS代码的能力,并将其呈现在受害者的浏览器中。此漏洞的影响可能会根据所提供的CSS有效负载而有所不同。该漏洞可能在特殊情况下导致跨站脚本,提取敏感数据泄漏数据或修改用户界面。 2、测试方法 当应用程序允许提供用户生成CSS或有可能在某种程度上干扰合法样式表时,就会发生此漏洞
XSS注入测试
热门推荐
u012114090的博客
07-16 4万+
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。   XSS ...
NuCMS V1.1 SQL注入漏洞分析与利用
"NUCMS V1.1存在SQL注入漏洞,主要由于在处理用户输入的status参数时,没有进行有效的安全过滤和参数绑定,导致恶意用户可以通过构造特定的payload执行SQL命令,获取敏感信息。" 文章管理系统(CMS)是用于构建和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值