对于web端URL的一些安全建议

最新推荐文章于 2024-07-03 09:07:22 发布
最新推荐文章于 2024-07-03 09:07:22 发布
阅读量273 收藏
点赞数
文章标签: python 数据库
原文链接:https://my.oschina.net/bosscheng/blog/179524
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

对于web端URL的一些安全建议

构建基于用户输入的全新URL的时候

1.如果允许用户构造URL的路径,查询或者片段ID这几部分的时候:

如果其中一部分未能正确地进行转义,这中URL很可能会产生出人意料的结果,例如,假如构造了一个用户可见的HTML按钮,令它和一个服务器端的处理关联起来,这个时候宁可选择保守的做法:如果需要插入攻击者能控制的字段值,除了字母和数字,最好把所有的数据都按照百分号编码形式转义一下!!!

2.如果允许用户提供协议名称或者授权信息部分数据:

这会带来很严重的代码注入和钓鱼风险!请按“设计URL输入过滤器”和“需要从接收到的URL里进行参与解码”


设计URL输入过滤器

  1. 相对URL:禁用相对URL,或者明确地改写成绝对路径以避免麻烦。其他方式都会存在风险的。
  2. 协议名称:只允许出现可接受的几种协议类型:http://、https://和ftp://。不要使用黑名单方式去验证,这样非常不安全。
  3. 授权信息部分:主机部分应该只包含数字和字母以及'-'和‘.’,在它的后面只能跟着“/”,"?"."#"或者字符串结束符。允许其他任何数据都有可能带来风险。如果需要检查主机名,请确保合理的使用从右往左的截取匹配模式。
  4. 补充:在很罕见的情况下,可能还需要检查URL里面的IDNA,IPv6括号表示法、端口号或者HTTP验证授权信息等,如果确实需要,必须对整个URL进行彻底的解析,验证各个部分,拒绝不正常的值,重新把整个URL序列化成一个没有歧义,符合规范,进过恰当转义的表达形式。

需要从接收到的URL里进行参与解码

千万不要因为标准这么说的,浏览器也理应是这么做的,就想当然地认为特定的字符串就一定被转义了。在反悔任何从URL获取的数值或者把它放入数据库进行查询前,拼接成新的URL之前,都需要仔细严谨的过滤清理危险的字符。

PS:比较优秀的做法是:

1.如果用户使用了某个网址作为参数传递的时候,使用encodeURIComponent()将其编码,这样就不会影响url的传递了, 

var url = "htti://example.com?url=" + encodeURIComponent(window.location.href);



document.write(encodeURIComponent("http://www.example.com.cn"))
document.write("<br />")
document.write(encodeURIComponent("http://www.example.com.cn/p 1/"))
document.write("<br />")
document.write(encodeURIComponent(",/?:@&=+$#"))

输出

http%3A%2F%2Fwww.example.com.cn
http%3A%2F%2Fwww.example.com.cn%2Fp%201%2F
%2C%2F%3F%3A%40%26%3D%2B%24%23




2.如果用户传递的参数中存在会影响到url的参数的时候,建议使用encodeURI()将其编码掉。 

var url = encodeURI("http://www.example.com.cn/My first/")
//  http://www.example.com.cn/My%20first/





转载于:https://my.oschina.net/bosscheng/blog/179524

weixin_33698043
关注
安全:如何保障 Web 应用程序的安全性?
前端-尔嵘
03-14 744
以上是一些前安全的基础知识和实践方法,但是仅仅依靠前安全是远远不够的。在 Web 应用程序中,还需要考虑服务器安全数据库安全、网络安全等多方面的问题。因此,建议采用全方位的安全策略,保障 Web 应用程序的安全性和稳定性。
【项目实战】Web安全防护(高风险漏洞与解决方法)
本本本添哥
11-25 1177
Web是网络安全的重要组成部分,因此常见的高风险漏洞也是很多的。下面列举了一些常见的Web高风险漏洞以及对应的解决方法,Web安全防护非常重要,只有加强了安全防护才能有效防止高风险漏洞的发生。要遵循安全性原则,结合自身的业务特点进行定制化的安全配置,才能确保系统的安全性和稳定性。以下是一些常见的Web漏洞检测报告中列出的解决方法,开发人员和管理员应该根据实际情况选择合适的方法进行修复和防范。同时,要保持更新和升级软件版本、及时修补安全漏洞、加强日志记录和分析等措施来提高整个系统的安全性。
关于WEBURL安全测试
06-13 378
测试思路: 对WEB做个简单的安全测试,主要是针对URL的测试。 回想起来,这次测试本质可以归为“权限”的测试,如下: 案例1: 1、分别开两个浏览器,以两个不同的帐号登陆web后台 2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等 3、复制另一个用户的访问链接到另一个浏览器,以另一个帐号的身份打开,查看,如果页面有相关操作,则试图进一步...
URL安全问题(过滤器)
成功我会一步一步走的专栏
04-10 1267
URL安全问题(过滤器) 在做一个java web 应用的时候,经常要涉及到三个URL安全问题: 1、没有登录,直接输入对应的URL就可以进入页面; 2、权限问题,普通用户也可以进入管理员的页面,没有权限限制。 3、seesion失效时,刷新会错误。 4、防止用户从其他网站url直接连接进入我网站的某个资源,或者某些页面要求必须从某个页面传递进来,直接输入url进入可能
基于 Spring Security URL 级别的安全访问控制
最新发布
FireFox1997
07-03 358
URL 级别的安全访问控制是指根据用户的角色或权限来限制对特定 URLURL 模式的访问。这种方式可以确保只有被授权的用户才能访问某些敏感的资源或执行特定的操作。首先,需要创建一个类来扩展并重写其方法来配置安全规则。
安全URL全面剖析
qqchaozai的专栏
05-21 2525
1 URL简介 在万维网(WWW)上,每个信息资源在网上都有唯一的地址,该地址就叫URL(Uniform Resource Locator,统一资源定位符),也就是指网络地址。 URL格式为: <协议>://<主机>:<口>/<路径>。 2 URL结构 一个完整的URL结构: scheme://login:password@address:port/path/to/resource?query_string#farment 协议名称【schema】:
网络安全URL介绍
qq_57289939的博客
01-05 2144
网络安全URL介绍
urlrewrite-------解决大型WEB系统URL暴露安全问题
zxingchao2009的专栏------用博客记录技术成长的点点滴滴
08-09 160
未经过改写的WEB系统的URL可以泄漏工程文件的目录,为了保证WEB系统的安全,免遭黑客的攻击,我们通常要对URL进行重写,目的就是使访问者看不到真实的路径,从而可以减少黑客攻击的可能性,下面给出一个简单的登陆例子,将http://localhost:8080/urlrewrite/login.do改写为http://localhost:8080/urlrewrite/mylogin/ 1...
appscan如何进行web安全性测试_web常见安全漏洞测试结果分析-- appscan
weixin_35323111的博客
12-30 1095
基于appscan测试结果分析:一、XSS跨站脚本指的是攻击者往Web页面里插入恶意html代码,通常是JavaScript编写的恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。是最常见的Web应用程序安全漏洞之一JavaScript可以用来获取用户的cookie、改变网页内容、URL调转,存在XSS漏洞的网站,可以盗取用户cookie、黑掉页面...
(持续更新中)Web功能测试下的安全测试如何进行?
qq_22643187的博客
03-13 1295
想到安全测试很多功能测试人员都很难入手,以为都是专业的安全测试人员去做。比如经常碰到的任务:某某某测试下系统有哪些安全问题,而对于经历过长达五六年的 web 功能、性能、接口测试人员来说,面对该任务就一头雾水。面对任何测试对象,我们需要有对应的范围,然后才讲到各个范围的技术方法。以下安全测试范围是本人实践过的,且用于过部分上市的基金公司安全测试执行过程的测试验证。请看完我的文章描述,我相信可以助力你成为一个初级安全测试工程师!Q:安全测试测试什么啊?Q:安全测试策略如何编写?Q:安全测试如何执行?
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 015-网络安全应急技术与实践(Web层-文件上传漏洞)
热门推荐
时光隧道
02-11 7万+
文件上传漏洞是指网站对于用户上传文件的验证过程不严格,导致攻击者可以上传恶意文件到服务器上执行任意代码或者获取敏感信息的安全漏洞。安全问题说明1. 代码执行攻击者可以上传包含恶意代码的可执行文件,通过执行这些代码来攻击服务器,例如获取敏感信息、操控服务器等。上传的可执行文件中包含恶意代码,攻击者可以通过执行该代码来实现攻击目的。2. 文件覆盖攻击者可以通过上传同名文件覆盖服务器上的原始文件,导致原始文件的内容被篡改或者删除。
web安全之--UrlRewrite
sky_100的博客
11-30 5244
最近在做一个项目,在做项目的过程中发现,由于自己的命名规范,显示在url地址栏中的信息如果不加修饰,很容易被人理解并且改写。如果让别人看不懂自己网站上的url地址栏的内容是不是非常好呢,于是自己便发时间去查找资料研究了一下,最后发现UrlRewrite很趁自己的心意。经过学习发现UrlRewrite有很多优点,第一,提高安全性,可以避免参数和id等完全暴露在用户面前。第二,美化URL。第三:由于网
url重定位保证路径安全
百雨的博客
03-29 429
url重定位 (1)MEDIA_URL是媒体文件前的路由,给你重定向到MEDIA_ROOT,内部就会用MEDIA_ROOT里面的绝对路径找到资源位置,而对用户展现的路径还是/media/,不让用户看具体路径,起到了保护作用 (2)MEDIA_URL的值不可以和STATIC_URL一样 (3)MEDIA_ROOT是媒体文件上传的根目录,会和imageField当中的upload拼接形成 完...
url安全处理函数+php,php常用的url处理函数总结_PHP
weixin_39830225的博客
04-02 75
本文实例总结了几种在php中url编码解析函数,如parse_url、rawurldecode、rawurlencode、urldecode、urlencode.分享给大家供大家参考。具体用法如下:下面来看介绍与实例:parse_url($str url);把url转换成数组:print_r(parse_url("www.bitsCN.com")); 解析url并输出返回数组,url 专用格式字符...
URL 参数的安全
fishyych
04-18 1532
在开发基于web的服务器的时候,我们经常需要传递一些敏感数据,比如用户名密码、信用卡信息等。那么应该如何保证这些信息的安全性?   我目前设计的一个系统,采用HTTPs GET方式来传递信息,里面把信息通过URL参数来传递。这样是安全的么?   我的回答是安全的。因为HTTPs的原理是首先建立一个安全的通道,然后所有的数据都通过这个加密的通道来传输,因此数据的安全性没有问题。对于我设计的系...
JavaScript 中更安全URL 读写
郊眠寺
03-25 197
URL对于我们开发人员来讲,应该是非常熟悉了。在对URL进行参数拼接时,我们一般都会直接进行字符串拼接或使用模版字符串,因为这样非常方便,但是我们这样其实会在不知不觉中以不安全的方式编写 URL。这样确实写起来非常方便,但你可能会在不知不觉中会你的程序带来一些问题。(如上代码就是一段有问题的代码)
信息安全-网站安全需求分析与安全保护工程(二)
我的个人博客
09-22 1515
IIS安全分析与增强、Web应用漏洞分析与防护、网站安全保护机制与技术方案、网站安全综合应用案例分析、政务网站安全保护
URL基础讲解
m0_55778885的博客
11-28 3425
文章目录概述网址的组成部分协议主机口路径查询参数锚点URL 字符URL 组成URL 保留字符URL 字符转义的方法绝对 URL 和相对 URL`` 概述 URL :统一资源定位符(Uniform Resource Locator) 中文译为网址 https://www.example.com/path/index.html 网址的组成部分 URL 由多个部分组成;下面是一个比较复杂的 URL,实际的 URL 通常不会有这么多部分 https://www.example.com:80/path/to/
Web应用安全框架:漏洞防范与关键措施
"本文主要探讨了Web应用程序安全框架的各个类别以及对应的漏洞防范措施,旨在提升Web应用的安全性。文章通过四个表格详细列举了输入和数据验证、身份验证、授权、配置管理、敏感数据处理、会话管理、加密、参数操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值