java web攻击_[Java教程]常见的WEB攻击

最新推荐文章于 2024-04-30 11:07:16 发布
最新推荐文章于 2024-04-30 11:07:16 发布
阅读量285 收藏 1
点赞数
文章标签: java web攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32236415/article/details/114169049
版权

[Java教程]常见的WEB攻击

0 2021-01-13 17:01:57

XSS

全称:Cross Site Scripting

中文名:跨站脚本

原理:利用网站漏洞和用户对该网站的信任,植入恶意javascript脚本,让用户访问的时候出现不被预期、恶意的操作。

例:

1.用户A在某论坛评论区评论, 并植入恶意代码。

你是个好人。

2.用户A评论后,数据保存到服务端数据库中。

3.其它用户查看该评论后,首先看到内容"你是个好人"。然后浏览器弹出弹窗提示1,接着便把自己的cookie数据提交给 转义为 <script>

CSRF

全称:Cross-site Request Forgery

中文名:跨站请求伪造

原理:利用 网站对浏览器的信任(基于会话原理),让用户执行非本意操作。

例:

1.银行提供转账服务 src='/images/loading.gif' data-original="http://www.examplebank.com/withdraw?account=小明&amount=1000&for=坏人">

4.小明的钱就转到坏人那里去了。

原因:小明登录了银行网站,会话没有过期,银行网站信任该浏览器,认为属于一个会话中属于同一个人所为,便让转账成功了。可惜这个操作并不是小明的本意,而是被利用了。

预防:

1.Referer校验。 当请求头中的域名和本网站域名一致,才认为没有遭到CSRF攻击。

2.Token随机数回传。服务器生成Token给客户端,客户端回传该token,服务端校验token。因为跨站脚本无法事先取得token,便无法伪造正确的请求。

SSRF

全称:Server-Side Request Forgery

中文名:服务器端请求伪造

原理:利用 服务端提供了从其他服务器获取数据的功能且没有对目标地址做过滤与限制的 缺陷 , 攻击内部系统。

例:

1.客户端提交 ftp://127.0.0.1 等等其它协议的网址,便攻击了服务器,使服务器读取本地文件,访问ftp站点了等了。

预防:

1.协议限制,比如仅允许http和https

2.ip或域名白名单

SQL注入

原理:利用 数据库系统的漏洞,攻击数据库系统。

例:

1.服务端登录接口login的入参为:(String id,String password)。 SQL语句为: select count(1) from user where id=id and password=password;

2.攻击者调用login接口,传入恶意参数。id=123&password=123 or 1=1;

3.攻击者如愿登录系统。原因就是:password的值"123 or 1=1"被数据库执行了or 1=1,绕过了前面的检查。

预防:

1.检查入参是否合理

2.改写sql语句,比如不要在SQL语句进行校验逻辑,应该select password from user where id=id,然后在代码中进行密码匹配。

3.使用PrepareStatement,或者Mybatis的#{}

本文网址:http://www.shaoqun.com/a/508694.html

*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们:admin@shaoqun.com。

JavaJavascriptSQL

0

喜迁莺
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java序列化攻击和最佳实践
KDLin‘s Blog
04-29 484
85. 其他序列化优于Java序列化 Java序列化机制很危险,在新编写的系统中,没有理由再使用Java序列化,应该使用其他序列化机制,例如跨平台的JSON序列化;尤其不要反序列化任何不信任的数据,因为容易遭受序列化攻击。 原因在于,反序列化不被信任的数据,容易受到序列化攻击,例如远程代码执行(RCE),拒绝服务(DoS)等等。研究人员可以基于Java序列化机制开发出很多巧妙的攻击片段。例如: public class BombSerializable { public static void
Java 反序列化攻击
m0_62571837的博客
01-21 435
漏洞由FoxGlove 的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。 由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,也就意味着使用了这些包的服务器(目前发现有WebSphere, WebLogic,JBoss),第三方框架(Spring,Groovy),第三方应用(Jenkins),以及依赖于这些服务器,框架或者直接/间接引用这些包的应用都会受到威胁,这样的应用的数量会以百万计。
Java代码审计之XSS攻击
tpaer的博客
12-07 1567
以代码实例复现Java中的XSS攻击,并给出修复建议。
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
如何用java 写简单的网络ddos攻击(黑客),从入门到精通系列网络安全工程师路线介绍_java 防 ddos
最新发布
韩束一叶子
04-30 1127
作为一名即将求职的程序员,2024年你的就业机会和风口会出现在哪里?在这种新环境下,工作应该选择大厂还是小公司?已有几年工作经验的老兵,又应该如何保持和提升自身竞争力,转被动为主动?根据腾讯安全发布的《互联网安全报告》,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有3万余人,而网络安全岗位缺口已达70万,缺口高达95%。而且,我们到招聘网站上,搜索【网络安全】【Web安全工程师】【渗透测试】等职位名称,可以看到安全岗位薪酬待遇好,随着工龄和薪酬增长,呈现「越老越吃香」的情况。
java攻击_了解Java应用中的开发攻击
weixin_35715490的博客
02-12 604
注入式(Inject)攻击是一类非常常见攻击方式,其基本特征是允许攻击者将不可信的动态内容注入到程序中,并将其执行,这就可能完全改变最初预计的执行过程,产生恶意效果。下面是几种主要的注入式攻击途径,原则上提供动态执行能力的语言特性,都需要地方发生注入攻击的可能。1. SQL注入攻击。一个典型的场景就是Web系统的用户登录功能,根据用户输入的用户名和密码,我们需要去后端数据库核实信息。假设应...
blog.rar_java web_java web netbeans_web登录
09-23
"java_web_netbeans"暗示开发环境是NetBeans,这是一个流行的集成开发环境(IDE),提供了丰富的工具支持Java Web应用程序的开发和调试。"web登录"则再次强调了项目的登录功能。 在"blog"这个文件名中,我们可以...
Java-api.rar_Java web a_java api
09-19
7. **学习手册**: 压缩包中的"学习手册"可能是详细的Java Web开发教程,涵盖了从基础概念到高级特性的讲解,可能包括实例代码、解释和最佳实践。 8. **API文档**: API文档通常包含类、接口、方法的详细说明,是...
java_art_for_web.rar_java web_java英文_web java
09-24
【标题】"java_art_for_web.rar" 暗示了这个压缩包主要关注的是JavaWeb开发中的应用,而“_java web_java英文_web java”进一步强调内容是关于Java Web开发的英文资料。这通常意味着我们将探讨使用Java语言构建Web...
jsp-web.zip_java web_web 项目_web项目
09-24
【标签】:“java_web”和“web__项目”标签明确了项目的核心技术是Java Web开发,而“web项目”表明这是一个完整的Web应用。在Java Web开发中,常常会用到如Spring框架、MyBatis或Hibernate这样的ORM框架来简化...
56436.rar_java web问卷_调查问卷系统
07-14
设计制作一个基于Web的问卷调查系统,功能多,包含源代码.建议下载
基于JAVA的ARP攻击实现
12-13
本项目请用MyEclipse导入,测试的是用MyEclipse10
攻击JavaWeb应用[1-8]
09-19
JavaEE项目漏洞点
java常见的敏感异常
m0_67265464的博客
03-21 1420
1、java.io.FileNotFoundException:泄露文件系统结构和文件名列举 2、ava.util.jar.JarException:泄露文件系统结构 3、java.util.MissingResourceException:资源列举 4、java.security.acl.NotOwnerException:所有人列举 5、java.util.ConcurrentModificationException :可能提供线程不安全的代码信息 6、javax.naming.Insufficien
常见web攻击手段
diansheshi4163的博客
07-05 344
XSS:跨站脚本攻击 -典型实例为: 当用户在表达输入一段数据后,提交给服务端进行持久化。如果此用户输入的是一段脚本语言,而服务端 用户输入的数据没有经过转码、校验等就存入了数据库,在其他页面需要展示此数据时,就会执行此用户输入的语言。简单来说,JS的强大不用我来解释吧 -推荐防御措施: 对用户输入的信息进行转义,例如<>'等等特殊字符。当然,其实很多前端框架...
Java开发必须掌握的8种网站攻防技术
茅坤宝骏氹的博客
05-18 2955
转载自 Java开发必须掌握的8种网站攻防技术XSS攻击XSS攻击的全称是跨站脚本攻击(Cross Site Scripting),是WEB应用程序中最常见到的攻击手段之一。跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序, 当用户打开该网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端cookie、 盗取用户名密码、下载执行病毒木马程序等等。为了不和层叠样式表 (Cascading St...
JavaWeb知识】Web常见攻击技术
No8g攻城狮的博客
03-24 1032
互联网上的攻击大都将Web站点作为目标。本章讲解具体有哪些攻击Web站点的手段,以及攻击会造成怎样的影响。 针对Web攻击技术 简单的 HTTP 协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。 应用 HTTP 协议的服务器和客户端,以及运行在服务器上的 Web 应用等资源才是攻击目标。目前,来自互联网的攻击大多是冲着 Web 站点来的,它们大多把Web 应用作为攻击目标。本...
常见web攻击总结
weixin_30418341的博客
04-12 322
每天学习一点点 编程PDF电子书、视频教程免费下载:http://www.shitanlife.com/code XSS 什么是XSS XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS是一种常见web安全漏洞,它允许攻击者将恶意代...
java XSS攻击防护
热门推荐
酷毙了耶的博客
05-28 1万+
首先说一下什么是XSS攻击 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web 用户将代码植入到提供给其它用户使用的页面中。 白话解释 说白了xss攻击就是jq代码攻击,用户提交的数据是jq代码,前台拿到数据库中查出的jq代码,浏览器会...
完整版Java web开发教程PPT课件 Java开发进阶教程 第08章 JSP内置对象(共22页).pptx
12-25
"这份资源是一套完整的Java Web开发教程,涵盖了从基础到进阶的多个主题,包括JavaScript语法、DOM操作、表单验证、自定义web服务器、Servlet、JSP语法与运行过程、JSP内置对象、JSTL、EL、Java Bean、过滤器、监听...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值