【安全】问题——防XSS防SQL注入式攻击的一些理解

已于 2022-01-20 17:16:04 修改
阅读量433 收藏 1
点赞数 1
分类专栏: 安全 文章标签: XSS SQL注入式攻击
于 2018-11-23 11:26:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34570718/article/details/84376691
版权

防XSS防SQL注入式攻击的一些理解

问题产生

昨天正开开心心地码代码,被大佬同事拉去搞修复漏洞,说是我运维的项目出现严重的SQL注入攻击和跨站漏洞。

一开始我是一脸懵逼的,因为之前码代码根本没接触过漏洞这块,编程的时候也没有防止漏洞产生的思想。怀着忐忑的心情就过去了。

到了之后大佬同事给我一份文档,告诉我项目中有个链接被检测出有SQL注入风险的漏洞。

可能的原因

链接访问采用的是get方式,将其中一个参数写到了链接里面,可能在写防XSS的过滤条件时少了某些字符,所以才会检测出漏洞。因为一开始不知道什么是XSS,询问过大佬,get到了几个点:1.防止XSS攻击的方式是个过滤器 2.过滤条件少了字符导致漏洞。

解决过程

那么就去web.xml里面找找filter配置吧,这倒不难,找到之后再去找相关的类,看是不是少写过滤条件了。果然,在过滤条件中有很多,但是也有一些没有写上去,比如   “  , ”  ,:等,按照检测的例子,将一些特殊的条件添加上去,大功告成。

总结

问题是解决了,但是我对这个漏洞的产生以及危害还是一知半解。SQL注入攻击是什么?工作机制是怎样的?危害有那些?不懂就要去问,然后就去和大佬交流。大佬拿我处理的漏洞举了个例子:

假如有个链接http:www.xxxxx.com?userID=xxxx,如果你不用XSS过滤器进行过滤的话,如果有人用userID=<a href = "www.aaaaaa.com"></a>(即一个网址超链接)请求之后,直接保存在数据库中,当查询的时候,返回的也是这个userID==<a href = "www.aaaaaa.com"></a>,那么前端就解析出一个超链接进行跳转新网站(钓鱼网站),用户不知道时就会发生用户信息泄露。如果写了对 < 的过滤条件,那么在写数据库的时候<a href = "www.aaaaaa.com"></a>包含<,根本不能写入数据库,也就避免了这种问题。

另,记一个小技巧,有些英文  "  ,: 可转换成中文  “  ,:,存入数据库,之后就算存入数据库,返回的时候因为有中文字符,前端解析会把整个东西解析成字符串。

子规入梧桐
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
信安实验三—— XSS 和 SQL 注入
Visual_LXY的博客
12-03 694
文章目录一,基本概念(一)XSS/CSS1.什么是XSS2.什么是XSS攻击3.什么是Cookie4.XSS漏洞分类5.XSS御(二)SQL注入攻击1.什么是SQL注入攻击2.为何会有SQL注入攻击3.何时使用SQL注入攻击4.MySQL简介二,XSS/CSS三,SQL注入攻击四,实验小结 一,基本概念 (一)XSS/CSS 1.什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代
安全漏洞中的倚天剑——XSS跨站脚本攻击
qq_41734243的博客
05-14 2452
one、概念 XSS跨站脚本攻击(Cross-Site Scripting)就是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行,XSS属于被动攻击,因为其被动且不好利用,所以许多人常呼略其危害性。 XSS通常情况可以有两种解释就是它可以是一种攻击,或者是一种漏洞。 XSS其实叫CSS,但是由于和另一种网页技术——层叠样表(Cascading Style Sheets)的缩写一样,为了止混淆,所以把原本的CSS简称为XSS。 这一漏洞攻击在各种WEB应用安全漏洞中,一直.
浅谈SQL注入XSS攻击
DFS的博客
03-27 1033
作为计算机小白,一直都认为黑客很牛逼所以简单的了解一下这反面的知识——信息安全 黑客是个英译词,译作Hacker。黑客攻击或者黑计算机的方多种多样,主要分为两种: (1)非破坏性的攻击:一般是为了扰乱系统的运行,并不盗窃系统资料,仅仅只是使服务器暂时失去对外提供服务的能力,通常采用拒绝服务攻击或信息炸弹 (2)破坏性攻击:是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的 常见的攻...
XSS漏洞注入,分类,御方法
zz12345600354的博客
05-08 1083
❤️其实不是项目上的要求,实际中我们没必要专门花时间去只找XSS漏洞,因为如果找到了反射型XSS像补天或者是漏洞盒子等都是不收的,除非有只收XSS漏洞的!因为要实现漏洞得与管理员交互,而且危害性较小!像标签风格的有些游览器会拦截,即使你过了游览器这关,还有网站开发这关,一般会过滤测试XSS漏洞关键在善于看网站源码,通过网站源码给你的信息来进行测试,并且要善于找输出点,这些地方都是需要重点排查的。
腾讯EdgeOne产品测评体验——多重攻击实战验证安全壁垒:DDoS攻击|CC压测|Web漏洞扫描|SQL注入
热门推荐
定期分享我的发现和想法,感谢你的陪伴和支持
04-15 2万+
边缘安全加速平台 EO 官方文档边缘安全加速平台 EdgeOne (Tencent Cloud EdgeOne) 结合腾讯强大的边缘计算技术,致力于优化用户体验。加速:EdgeOne通过部署近用户的边缘节点,有效减少数据访问延迟,同时提供动静态内容加速、跨国加速和智能路由优化等功能,以保障数据传输的高效与稳定。安全:EdgeOne提供WAF和DDoS护等服务,利用智能AI和策略引擎阻断各类攻击,确保业务流畅稳定。《亚太第一!
网络安全威胁——水坑攻击
聚集机器学习、信息安全
10-28 5709
水坑攻击(Watering Hole Attack)是一种网络攻击方法,其名称来源于自然界的捕食方。本文详细介绍了水坑攻击的概念、原理及典型案例。
OWASP TOP 10(2021)之注入漏洞(SQL注入XSS注入)
awbzda博客
04-26 3736
OWASP(Open Web Application Security Project),开放web应用安全项目,而OWASP TOP 10是面向开发人员和 Web 应用程序安全性的标准意识文档,它代表了关于 Web 应用程序最关键安全风险的广泛共识。说白了,就是总结了国际公认的关于web安全的排名靠前的十大安全风险。 2021年的OWASP TOP 10为 A01:2021-破碎的访问控制 A02:2021-加密故障,以前称为敏感数据暴露 A03:2021-注入 A04:2021-不安全的设计 A
初识XSSSQL注入
m0_47968686的博客
12-03 484
XSSSQL注入 实验原理 ## 1.什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击。 ## 2.什么是xss攻击 XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,由于HTM
腾讯EdgeOne产品测评体验——开启安全护,保障数据无忧
ztK63LrD的博客
04-15 1万+
2022年腾讯推出自研的安全护技术Tencent Cloud EdgeOne ,其集成了安全护、性能加速及相关技术的边缘一体化服务平台,将多个加速(全球部署大量边缘节点供访问)和安全(整合了腾讯20多年积累的安全护产品)
HTTP——Web常见安全问题
weixin_41309331的博客
09-07 456
Web中常见的安全问题SQL注入 XSS CSRF 点击劫持 1 SQL注入 原理:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 御: 对用户的输入进行校验,如通过正则表达进行限制; 避免动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取; 避免使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接; 避免把机密信息明文存放; 2 XSS XSS即跨域脚本攻击(cross-site
安全热点」共赢——阿里云一站企业管理服务 - 区块链.zip
11-09
最后,针对“webapp”的安全问题,阿里云服务涵盖了Web应用程序的安全护,包括SQL注入、跨站脚本攻击XSS)等常见威胁,以保护企业的在线业务不受侵害。 总结来说,阿里云的一站企业管理服务结合了区块链...
asp+sql+server+程序代码系统——新闻发布
06-30
6. **安全性**:由于涉及到用户信息和新闻内容,系统需要具备一定的安全措施,如SQL注入XSS攻击等,确保数据安全。 7. **扩展性**:良好的设计应考虑到未来的功能扩展和维护,比如增加评论功能、用户登录注册...
C#——酒店管理系统1.0
07-05
在实际项目中,安全性是至关重要的,开发者需要考虑SQL注入XSS攻击等。同时,性能优化也是提升系统效率的关键,包括合理的数据库索引、查询优化、缓存策略等。 总结,《C#——酒店管理系统1.0》项目涵盖了C#...
ASP.NET源码——e新时代企业网站管理系统SQL版.zip
10-10
ASP.NET提供了多种安全措施,如XSS跨站脚本攻击、CSRF跨站请求伪造等,开发者还需要关注SQL注入护。 9. **性能优化**:对于大型企业网站,性能优化至关重要。可能包括缓存策略、数据库索引优化、异步处理、...
阿姨帮毕业设计——(论文+源码).zip
04-21
6. 安全性考虑:平台需保护用户隐私,因此会涉及到用户数据加密、SQL注入XSS攻击等网络安全知识。 7. 移动优先设计:考虑到家政服务的便捷性,应用可能需要优化移动端用户体验,这就涉及到响应设计、移动...
基于Springboot和Vue的社区团购系统设计源码 社区团购系统设计代码(98分期末优秀大作业)
08-03
社区团购系统设计源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
数理方法习题 前五章.pdf
08-03
数理方法习题 前五章
LowBatteryLog-2024-05-28-081655.ips
最新发布
08-03
LowBatteryLog-2024-05-28-081655.ips
Web渗透攻击:上传攻击深度剖析
在当前网络安全水平日益提高的背景下,SQL注入等传统漏洞在安全性较高的网站中已不太常见,因为许多.NET或JAVA框架都采用了参数化用户输入和SQL注入的API。然而,上传攻击仍然是一种极具威胁的攻击手段,尤其是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值