【安全】问题——防XSS防SQL注入式攻击的一些理解

已于 2022-01-20 17:16:04 修改
阅读量464 收藏 1
点赞数 1
分类专栏: 安全 文章标签: XSS SQL注入式攻击
于 2018-11-23 11:26:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34570718/article/details/84376691
版权

防XSS防SQL注入式攻击的一些理解

问题产生

昨天正开开心心地码代码,被大佬同事拉去搞修复漏洞,说是我运维的项目出现严重的SQL注入攻击和跨站漏洞。

一开始我是一脸懵逼的,因为之前码代码根本没接触过漏洞这块,编程的时候也没有防止漏洞产生的思想。怀着忐忑的心情就过去了。

到了之后大佬同事给我一份文档,告诉我项目中有个链接被检测出有SQL注入风险的漏洞。

可能的原因

链接访问采用的是get方式,将其中一个参数写到了链接里面,可能在写防XSS的过滤条件时少了某些字符,所以才会检测出漏洞。因为一开始不知道什么是XSS,询问过大佬,get到了几个点:1.防止XSS攻击的方式是个过滤器 2.过滤条件少了字符导致漏洞。

解决过程

那么就去web.xml里面找找filter配置吧,这倒不难,找到之后再去找相关的类,看是不是少写过滤条件了。果然,在过滤条件中有很多,但是也有一些没有写上去,比如   “  , ”  ,:等,按照检测的例子,将一些特殊的条件添加上去,大功告成。

总结

问题是解决了,但是我对这个漏洞的产生以及危害还是一知半解。SQL注入攻击是什么?工作机制是怎样的?危害有那些?不懂就要去问,然后就去和大佬交流。大佬拿我处理的漏洞举了个例子:

假如有个链接http:www.xxxxx.com?userID=xxxx,如果你不用XSS过滤器进行过滤的话,如果有人用userID=<a href = "www.aaaaaa.com"></a>(即一个网址超链接)请求之后,直接保存在数据库中,当查询的时候,返回的也是这个userID==<a href = "www.aaaaaa.com"></a>,那么前端就解析出一个超链接进行跳转新网站(钓鱼网站),用户不知道时就会发生用户信息泄露。如果写了对 < 的过滤条件,那么在写数据库的时候<a href = "www.aaaaaa.com"></a>包含<,根本不能写入数据库,也就避免了这种问题。

另,记一个小技巧,有些英文  "  ,: 可转换成中文  “  ,:,存入数据库,之后就算存入数据库,返回的时候因为有中文字符,前端解析会把整个东西解析成字符串。

子规入梧桐
关注
专栏目录
[网络安全自学篇] 七十一.深信服分享之外部威胁护和勒索病毒对抗
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、护措施等,那么如何护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
项目里安全扫描出漏洞的各种解决方案(host攻击 跨站脚本攻击以及sql注入 重放攻击
qq_42303467的博客
09-24 896
1 不安全的HTTP方法 检测到未禁用 OPTIONS 等 HTTP 方法 解决方: 1.在web.xml中增加 <security-constraint> <web-resource-collection> <web-resource-name>dmsbSec</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT<
XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
XssUtilssql注入
u013008898的博客
10-26 541
package com.zy.platform.epidemic.monitor.utils; import com.zy.platform.epidemic.monitor.exception.CustomException; import java.util.Iterator; import java.util.Map; import java.util.regex.Pattern; public class XssUtils { static String reg = "(?:')|.
java XssSQL注入攻击
负数
02-14 2522
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐号等 2、利...
xss攻击sql注入
aguiyi3968的博客
03-10 205
xss攻击sql注入 XSS xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制...
sql注入xss攻击 方法
ak47147258369的博客
04-11 146
//sql注入xss攻击 /** * 过滤参数 * @param string $str 接受的参数 * @return string */ public function actionFilterWords($str) { $farr = array( "/<(\\)(script|i?f...
信安实验三—— XSS 和 SQL 注入
Visual_LXY的博客
12-03 972
文章目录一,基本概念(一)XSS/CSS1.什么是XSS2.什么是XSS攻击3.什么是Cookie4.XSS漏洞分类5.XSS御(二)SQL注入攻击1.什么是SQL注入攻击2.为何会有SQL注入攻击3.何时使用SQL注入攻击4.MySQL简介二,XSS/CSS三,SQL注入攻击四,实验小结 一,基本概念 (一)XSS/CSS 1.什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代
安全漏洞中的倚天剑——XSS跨站脚本攻击
qq_41734243的博客
05-14 2483
one、概念 XSS跨站脚本攻击(Cross-Site Scripting)就是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行,XSS属于被动攻击,因为其被动且不好利用,所以许多人常呼略其危害性。 XSS通常情况可以有两种解释就是它可以是一种攻击,或者是一种漏洞。 XSS其实叫CSS,但是由于和另一种网页技术——层叠样表(Cascading Style Sheets)的缩写一样,为了止混淆,所以把原本的CSS简称为XSS。 这一漏洞攻击在各种WEB应用安全漏洞中,一直.
安全热点」共赢——阿里云一站企业管理服务 - 区块链.zip
11-09
最后,针对“webapp”的安全问题,阿里云服务涵盖了Web应用程序的安全护,包括SQL注入、跨站脚本攻击XSS)等常见威胁,以保护企业的在线业务不受侵害。 总结来说,阿里云的一站企业管理服务结合了区块链...
主要使用Filter针对Xss攻击sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,文章会分享出整个Filter文件包,包含四个java文件: 5.1,public class CrosXssFilter implements Filter 5.2,public class CrosXssFilterConfig implements WebMvcConfigurer 5.3,public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter 5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper 6,服务器白名单校验的java文件: 6.1,public class ServerWhiteListUtil 7,如果不要需要使用服务器白名单功能,那么,注释CrosXssFilter.java 文件的36-39行文件代码即可 原文链接:https://blog.csdn.net/zlxls/article/details/107432468
SQL注入XSS攻击Filter
06-03
SQL注入XSS攻击Filter
使用Filter针对Xss攻击sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,文章会分享出整个Filter文件包,包含四个java文件: 5.1,public class CrosXssFilter implements Filter 5.2,public class CrosXssFilterConfig implements WebMvcConfigurer 5.3,public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter 5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper 6,服务器白名单校验的java文件: 6.1,public class ServerWhiteListUtil 7,如果不要需要使用服务器白名单功能,那么,注释CrosXssFilter.java 文件的36-39行文件代码即可 原文链接:https://blog.csdn.net/zlxls/article/details/107432468
javaxss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
springboot项目XSS攻击sql注入
yy1209357299的博客
02-07 3604
springboot项目XSS攻击sql注入
springbootXSS攻击sql注入
程序员小明1024
03-20 903
文章目录 1. XSS跨站脚本攻击 ①:XSS漏洞介绍 ②:XSS漏洞分类 ③:护建议 2. SQL注入攻击 ①:SQL注入漏洞介绍 ②:护建议 3. SpringBoot中如何XSS攻击sql注入 1. XSS跨站脚本攻击 ①:XSS漏洞介绍 跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入...
Spring Boot 如何XSS + SQL 注入攻击 ?终于懂了!
最新发布
犬小哈
03-27 522
???? 欢迎加入小哈的星球,你将获得:专属的项目实战 / Java 学习路线 /一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0 版本完结啦,演示链接:http://116.62.199.48/,新项目正在酝酿中。全程手摸手,后端 + 前端全栈开发,从 0 到 1 讲解每个功能点开发步骤,1v1 答疑,直到项目上线。目前已更新了239小节,累计38w+字,讲解图:164...
SQL注入漏洞详解与安全测试基础
"这篇资料主要介绍了安全测试中的一个重要概念——注入漏洞,特别是SQL注入,以及相关的安全测试方法和工具。" SQL注入是一种常见的网络安全威胁,它发生在应用程序未能正确过滤或验证用户输入的情况下,允许攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值