记录一次网站漏洞修复过程(三):第二轮处理(拦截SQL注入、跨站脚本攻击XSS)...

最新推荐文章于 2021-08-16 17:56:08 发布
最新推荐文章于 2021-08-16 17:56:08 发布
阅读量235 收藏
点赞数
文章标签: c# 数据库
原文链接:http://www.cnblogs.com/lilunjia/p/7735558.html
版权

在程序编写的时候采用参数化的SQL语句可以有效的防止SQL注入,但是当程序一旦成型,再去修改大量的数据库执行语句并不是太现实,对网页表单上输入进行校验是易于实现的方法。在webForm 页面中开启校验属性:

ValidateRequest="true"
<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Line.aspx.cs" Inherits="EcospSite.Line" ValidateRequest="true" %>

 但是有的时候也不太好使,只能自己编写代码检查用户的输入,如果直接在页面上添加校验,工作量比较大,并且需要很多测试工作,在global.asax 中 添加拦截方法还是比较合适的。

 void Application_BeginRequest(object sender, EventArgs e)
    {
        string path = this.Request.Path.ToLower();
       
        System.Collections.Generic.List<string> group_sql = new System.Collections.Generic.List<string>();
        
        group_sql.AddRange(new string[] { 
                "a.aspx", "b.aspx", "c.aspx", 
                "d.aspx","e.aspx","f.aspx" });
        foreach (string item in group_sql)
        {
            if (path.EndsWith(item))
            {
                SQLCheck.CheckQueryParamRequest(this.Request, this.Response);  // 检查URL中是否有非法语句
                SQLCheck.CheckFormParamRequest(this.Request, this.Response);   // 检查表单中是否有非法语句
                break;
            }
        }
    }

如果输入没有校验通过,程序丢出异常,跳转到异常处理页面

 对于处理 跨站脚本攻击XSS也可以采用同样的处理方式,不过校验的格式可能有所不同,一个是防止执行恶意SQL语句,一个是防止执行恶意脚本。另外在关键页面显示用户输入的地方,最好对内容进行转义处理,保证恶意嵌入的HTML、SCRITP无法执行。

 

转载于:https://www.cnblogs.com/lilunjia/p/7735558.html

weixin_30367873
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java的SQL注入XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和防范SQL注入XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
截至今天服务器拦截的攻击和扫描网站的ip黑名单
热门推荐
勤劳的执着的运维农民工
11-09 1万+
Banned IP list: 103.228.209.4 220.181.51.86 113.143.182.84 124.251.57.67 124.251.57.65 52.82.81.162 123.185.108.134 220.181.51.88 14.198.216.32 60.205.219.53 114.239.105.20 58.38.96.237 120.229.18.3...
web十大安全隐患及对策
weixin_30642305的博客
02-23 208
A1 - Cross Site Scripting (XSS) 1.在页面上对文本输入框,下拉列表的值,中输入的一些敏感字符进行转换(如:< > “ ‘等)。 2.在Global.asax中Application_BeginRequest事件中进一步对对一些敏感字符进行转换和过滤 A2 - Injection Flaws 1. 参见A1. 2. 不要直接使用拼接SQL. 用参数式样的...
防止sql注入的url过滤器【java filter】
01-14
防止sql注入的url过滤器,简单配置即可!
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
Struts2拦截
Accelerator
07-17 453
拦截器 对类的拦截: package com.chinaosft.intercepor; import javax.servlet.http.HttpSession; import org.apache.struts2.ServletActionContext; import com.chinasoft.entity.User; import com.opens
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser......处理Xss攻击及sql注入.zip
预防XSS攻击和SQL注入XssFilter
05-19
对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取...
java 富文本 xss_个人网站xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范...
weixin_39664010的博客
02-16 1184
昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷……其实攻击者进攻的手法很简单,没啥技术含量。只能感叹自己之前竟然完全没防范。这是数据库里留下的一些记录。最后那人弄了一个无限循环弹出框的脚本,估计这个脚本之后他再想输入也没法了。类似这种:我立刻认识到这事件严重性,它说明我的博客有严重安全问题。因为xss跨站脚本攻击可能导致用户Cookie甚至服务器Session用户信息被劫持,后果严重。虽然攻击...
Java Web项目解决 sql 注入问题(过滤器进行过滤解决)
qq_37537009的博客
07-03 1830
** 1、编写过滤器类—SqlFilter.java ** package com.yl.zp.controller; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException
springboot---防止sql注入xss攻击,cros恶意访问
西门飘雪的博客
07-25 5745
目录 1.sql注入 2.xss攻击 3.csrf/cros 4.服务端代码处理,以springboot为例 5.几个防止暴力破解的网站 1.sql注入 sql注入解释: 把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 解决方法: 1)无论是直接使用数据库还是使用如mybatis组件,使用sq...
Struts2中的拦截
weixin_34273479的博客
01-08 74
 
Struts2基础():Struts2的拦截
鹏哥哥Aaa
01-21 122
1.拦截器的意义:            (1).把重用性的内容写在拦截器中            (2).复杂的逻辑若无拦截器全写在action中,结构不好            (3).复杂逻辑的一个拦截器可能不够,需要多个拦截器构成一个拦截器栈   2.Servlet和Struts2通信的桥梁:ServletActionContext   3.拦截器例子 jsp:     ...
[聊一聊系列]聊一聊WEB前端安全那些事儿
weixin_33963189的博客
08-22 545
欢迎大家收看聊一聊系列,这一套系列文章,可以帮助前端工程师们了解前端的方方面面(不仅仅是代码):https://segmentfault.com/blog... 随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊W...
Java 过滤器解决URLSQL注入漏洞、跨站漏洞、框架注入漏洞、链接注入漏洞
SuperstarSteven的博客
08-16 6322
一、 漏洞描述 1. 检测到目标URL存在SQL注入漏洞 很多WEB应用中都存在SQL注入漏洞SQL注入是一种攻击者利用代码缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用。例如url本身的参数、post数据或cookie值。 2.检测到目标URL存在跨站漏洞 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码
XSS漏洞报告
dongbule的专栏
04-22 480
对于的用户输入搜索出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心。 一、什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的htm...
防止SQL注入XSS攻击Filter
u014704496的专栏
06-12 627
nbsp;今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下: [java] view plaincopy im
.net 跨站脚本攻击XSS漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 7927
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
解决跨站脚本注入,跨站伪造用户请求,sql注入等http安全漏洞
weixin_30877493的博客
03-09 591
本篇文章总结于各大博客 版权声明:本文为博主原创文章,欢迎大家转载。如有错误请多多指教。 https://blog.csdn.net/u011794238/article/details/46419911跨站脚本就是在url上带上恶意的js关键字然后脚本注入了,跨站伪造用户请求就是没有经过登陆,用超链接或者直接url上敲地址进入系统,类似于sql注入这些都是安全漏洞sql注入...
防治XSSSQL注入:简单有效的过滤方案
"XSS漏洞SQL注入是网络安全中的常见问题,本资源提供了一种傻瓜式的解决方案,包括在Web应用中防止XSS攻击的配置步骤和可能的代码实现。" 在Web开发中,XSS(Cross Site Scripting)漏洞允许攻击者在用户的浏览器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值