Web安全防御(上)

最新推荐文章于 2024-08-01 20:49:36 发布
最新推荐文章于 2024-08-01 20:49:36 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: web 安全 java web 文章标签: web 安全 文件上传 SQl 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014315849/article/details/81951327
版权
本文探讨了Web安全中的两大关键防御措施:文件上传防御和SQL注入防御。在文件上传方面,强调了设置不可执行目录、严格文件类型检查及使用独立文件服务器域名的重要性。而在SQL注入防护上,提出了预编译语句、存储过程、数据类型检查以及安全函数的使用。通过这些策略,可以提升Web应用的安全性。
摘要由CSDN通过智能技术生成

1 文件上传防御

1 文件上传目录设置为不可执行

只要Web容器无法解析该目录下的文件,即使攻击者上传了脚本文件,服务器本身也不会收到影响。很多大型网站的上传应用,文件上传后会放到独立的存储上,做静态文件处理,一方面使用缓存加速,降低性能损耗;另一方面也杜绝了脚本执行的可能。

2 判断文件类型

判断文件类型时,结合使用MIME Type,后缀检查等方式。在文件类型检查中,强烈推荐使用白名单,而不是黑名单的方式。

此外对于图片的处理,使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码。

3 单独设置文件服务器的域名

由于服务器同源策略的关系,一系列客户端攻击将失效,比如上传
crossdomain.xml,上传包含JavaScript的XSS利用等问题将得到解决。能否如此设置,需要看具体的业务环境。

除此之外,文件上传功能,还要考虑到病毒,木马,色情图片和视频,反动政治文件等与具体业务安全结合更紧密的问题,则需要做的工作就更多了。不断的发现问题,结合业务需求,才能设计出合理的,最安全的上传功能。

2 SQL注入的防御

解决思路:
- 找到所有的SQL注入漏洞
- 修补这些漏洞

1 使用预编语句

防御SQL注入的最佳方式,就是使用预编译语句,绑定变量。

最低0.47元/天 解锁文章
CameloeAnthony
关注
专栏目录
web安全防范
宅神的博客
06-28 4674
web安全 安全永远是产品的最基础需求 这里总结几种常见攻击与防范 一.XSS XSS,跨站脚本攻击,原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。 1. 非持久性XSS 非持久型 XSS 漏洞,也叫反射型 XSS 漏...
web安全 XSS 防御与修复
07-14
自动化测试
安全防御
qq_45980518的博客
03-14 897
linux 安全防御概述 常见的攻击手段与安全防御设备 基础类防火墙 何为防火墙 防火墙的分类 iptables工作结构 iptables历经的构造变化 iptables相关原理 iptables语法规则 书写规则 常见动作类型及选项 通用匹配 隐含匹配 显式匹配 SNAT规则 DNAT规则 常见Iptables相关命令 SELinux SELinux 前世今生 Selinux 实现模型 Selinux 在 Linux 中的地位变化 SELinux 布尔值 布尔值配置命令
2024零基础入门Web安全,看这一篇就够了
最新发布
wangluo12138的博客
08-01 813
Web安全是指保护Web应用程序、Web服务器和Web浏览器免受各种网络攻击和恶意行为的方法和技术。随着越来越多的业务和活动转移到互联网上,Web安全成为越来越重要的问题。Web安全包括以下方面:认证和授权:确保只有经过身份验证和授权的用户可以访问敏感信息。输入验证:检查用户输入的数据是否合法,避免恶意用户通过输入恶意数据来攻击应用程序。防止跨站点脚本攻击(XSS):防止攻击者在Web页面上注入恶意脚本,从而获取用户信息或执行其他恶意操作。
web应用安全防范(1)—为什么要重视web应用安全漏洞
weixin_33709364的博客
01-05 175
现在几乎所有的平台都是依赖于互联网构建核心业务的。 自从XP年代开始windows自带防火墙后,传统的缓冲器溢出等攻击失去了原有威力,黑客们也把更多的目光放在了WEB方面,直到进入WEB2.0后,WEB安全WEB后端延伸到Web前端,WEB安全形势也将越来越严峻。 下图体现了2012与2011年漏洞趋势的对比: 下图体现了2012年漏洞影响对象: ...
安全防御----防火墙
upmans的博客
03-17 709
2、防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。因为DMZ有两条路线,所以需要做聚合(这里将1/0/2和1/0/3聚合)
企业级Web服务器安全主动防御措施
01-20
笔者认为,这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全,笔者认为,Web安全要主动出击。具体的来说,需要做到如下几点。  一、在代码编写时要进行漏洞测试...
WEB渗透技术研究与安全防御.docx
06-08
综上所述,针对Web渗透技术和安全防御的研究不仅有助于加深对网络安全威胁的理解,更为重要的是,它为制定有效的安全策略提供了理论基础和技术支持。通过对网络威胁进行全面分析和采取相应的防护措施,可以有效地...
Web安全防御浅谈
11-07
Web安全防御是一个系统工程,需要从多个层面进行综合考虑。通过在开发过程中采取合理的安全措施,可以在很大程度上减少Web应用遭受攻击的可能性。此外,持续的安全意识教育和技术培训也是保持网站安全的重要环节。...
ASP源码—Web安全防御机制 GuardianGenius.zip
10-20
在"ASP源码—Web安全防御机制 GuardianGenius.zip"这个压缩包中,我们很可能是得到了一个针对Web安全防御的ASP源代码实现,名为"GuardianGenius"。在Web开发中,安全防御机制至关重要,因为网站经常面临诸如SQL注入...
Web服务器安全设置
04-06
Web服务器安全设置 Web服务器安全设置Web服务器安全设置
Web应用程序安全防护
jkqa_123的专栏
09-06 1870
 在网上读到一篇文章《Web应用程序引起了大量的攻击》http://searchsecurity.techtarget.com.cn/securitynews/490/2493990.shtml?BLK=050001&NODE=1005后决定学习一下Web应用程序安全防护,以下是我的一些总结:Web应用程序安全问题主要为:                                
安全防御-----IDS
windy_12138的博客
09-12 1713
关于IDS
安全世界观 | 常见WEB安全问题及防御策略汇总
架构精进之路
03-13 752
1、安全世界观继上一篇:我用一个小小的开放设计题,干掉了40%的面试候选人聊到了Web安全之后,好多朋友也在关注这个话题,今天特意再写一篇。安全世界观一词是《白帽子讲Web安全》一书的...
web安全防御
qiu18610714529的博客
07-12 223
XSS(攻击者能获得cookie) XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。
网站安全防御详解
聆听岁月的博客
06-03 2454
我所熟悉的网络攻击主要源于DDOC 攻击、CC攻击、sql注入 等攻击,如果你觉得我的文档有帮助,请帮助我点个赞。【笑脸】 我所讲解的是一个防御方法,至于是否有用还是要看你的实际情况。 1、安全网盾 传统的请求模式是,访问一个链接,首先经过的步骤是在DNS服务器上解析这个域名获取源IP地址,这个ip地址就是服务器的实际网络地址。那么我们的第一步防护就是隐藏服务器的真实ip地址,并对所有的请求进行一...
Web应用安全威胁与防护措施,【一篇文章搞懂】
m0_60732644的博客
04-08 966
网络安全框架包括一系列文档和指南,它定义了企业在管理网络安全风险,以及减少漏洞的过程中,需要遵循的各种优秀实践。这里主要强调的是“合适才是最好的”。我们需要对企业所处的行业,当前开展的业务进行调研。在此基础上,通过利用专业知识和业界现有的安全标准,为本企业准备详细的计划与适合的安全策略。
关于安全防御方面的总结
qq_44005305的博客
02-05 137
在日常开发中往往我们很容易忽略安全方面的问题,或者不涉及到安全方面的问题,又或者在框架层面帮我们做了安全处理,了解安全问题有利于保证我们的应用的安全性,并且在遇到安全问题时,有理可据,接下来简单聊一下安全方面的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值