最近遇到的sql注入,目录遍历,xss的防范

最新推荐文章于 2023-01-14 20:45:00 发布
最新推荐文章于 2023-01-14 20:45:00 发布
阅读量764 收藏 1
点赞数
文章标签: sql 脚本 数据库 加密 java file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wl314600176/article/details/6916006
版权

       最近在做一个网站,由于我是刚毕业不久,之前做的也是内部使用的mis系统,没有做过网站。在网站大部分功能都完成的时候,部署在真实环境时邀请了安全方面的人员进行了测试,结果就发现以上三种安全漏洞。

        sql注入发生在操作数据库的时候拼凑sql语句;目录遍历则发生在由于网站分为前台和后台管理,是两个不同的工程,前台需要下载文件时就使用java里面的File类,在传进来的参数没有进行处理就直接使用导致了可以通过../之类的方式下载任何可以访问的文件;xss则是来源于网站上面有个提问的模块,在那里输入的数据没有进行处理导致显示时会执行。

       下面就是我现在解决这些问题的方法:

       应对sql注入:尽可能使用PreparedStatement,在不能使用的时候对参数进行校验,判断是否存在select,or ,and等关键字。

       目录遍历:判断参数和文件名的包含../等文件名不该出现的字符,加密文件名也是一种不错的处理方式。

       xss:用户在提问和发帖子的时候,没有对用户输入的内容是否含有脚本等代码进行处理,比较简单的方式是对<、>等进行转码,直接在页面上显示,但是个人自己写的难免会有遗漏,所以我是使用commons-lang进行转码的。当然,也可以对输入进行判断,当是脚本等代码时就提示不允许。

       以上只是基本的处理方式,欢迎提出批评建议。

wl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何利用Sql 注入遍历目录
Y1ch0的专栏
12-01 1194
如何利用Sql 注入遍历目录 关于如何取得注入入口不再说了,前面的帖子都说得很详细了,我们就如何浏览全部目录和文件进行研究当System_user为"sa"时,具有全部权限,包括执行master.dbo.xp_cmdshell,如果这个存储过程没有改名或删除,我们可以利用它来遍历全部目录,执行如下:先创建一个临时表:temp5;create table temp(id nvarchar(
Java防御目录穿越漏洞方法_Elasticsearch漏洞汇总
weixin_33467739的博客
03-01 1511
简介Elasticsearch是一个开源的分布式、RESTful 风格的搜索和数据分析引擎,它的底层是开源库Apache Lucene。Lucene 可以说是当下最先进、高性能、全功能的搜索引擎库——无论是开源还是私有,但它也仅仅只是一个库。为了充分发挥其功能,你需要使用 Java 并将 Lucene 直接集成到应用程序中。 更糟糕的是,您可能需要获得信息检索学位才能了解其工作原理,因为Lucen...
目录遍历攻击详解
metheir的博客
01-08 8308
对于一个安全的Web服务器来说,对Web内容进行恰当的访问控制是极为关键的。目录遍历是Http所存在的一个安全漏洞,它使得攻击者能够访问受限制的目录,并在Web服务器的根目录以外执行命令。   Web服务器主要提供两个级别的安全机制:   访问控制列表——就是我们常说的ACL   根目录访问   访问控制列表是用于授权过程的,它是一个Web服务器的管理员用来说明什么用户或用
目录遍历漏洞
热门推荐
xsyu_liuyan的博客
03-16 1万+
一. 什么是目录遍历漏洞 目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。 二. 目录遍历漏洞原理 程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上
Spring Boot 目录遍历 (CVE-2021_21234)
小小猪的博客
12-31 4470
Spring Boot 目录遍历 (CVE-2021_21234) 漏洞简介: spring-boot-actuator-logview 在一个库中添加了一个简单的日志文件查看器作为 spring boot 执行器端点。它是 maven 包“eu.hinsch:spring-boot-actuator-logview”。在 0.2.13 版本之前的 spring-boot-actuator-logview 中存在目录遍历漏洞。该库的本质是通过 admin(spring boot 执行器)HTTP 端
漏洞目录遍历漏洞
angry_program的博客
01-10 2407
目录遍历漏洞 目录遍历, 也叫路径遍历,由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件 (可以是web根目录以外的文件),甚至可以执行系统命令。 原理 程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。...
第41天:JAVA安全-目录遍历访问控制XSS等安全问题1
08-03
5. 检查数据验证和过滤机制,防止XSSSQL注入等。 6. 对敏感操作进行日志记录,便于问题追踪。 总之,JAVA安全涉及多个层面,开发者需要时刻警惕,通过深入代码分析和实践,提升应用程序的安全性。提供的链接中...
pikachu靶场包含网络安全中常见的漏洞
11-08
这个靶场涵盖了XSS跨站脚本攻击、SQL注入目录遍历、文件上传漏洞、文件包含漏洞以及远程执行等多种威胁,通过实践操作,用户可以提高自身的安全防护意识和技能。 1. **XSS(Cross-Site Scripting)跨站脚本攻击**...
PHP程序常见漏洞防范
12-13
使用预处理语句(如PDO或MySQLi的预处理)和参数绑定来防止SQL注入,不要直接拼接用户输入到SQL查询中。对所有数据库交互进行严格的数据过滤和转义。 9. **过滤非法字符**:对用户输入进行严格的验证和清理,过滤掉...
WEB安全测试分类及防范测试方法.docx
12-18
- **目录遍历问题测试**:攻击者可能通过路径遍历漏洞访问到未授权的文件或目录防范措施包括限制对特定目录的访问,并对输入进行严格的过滤和验证。 2. **应用程序测试**: - **SQL注入漏洞测试**:攻击者通过...
WEB安全测试分类及防范测试方法
06-20
- **操作系统目录安全性及Web应用部署环境目录遍历问题测试**:确保服务器的文件系统权限设置合理,防止目录遍历攻击,即攻击者通过构造特殊URL访问到不应公开的文件或执行系统命令。 2. **应用程序测试** - **...
Web 安全漏洞目录遍历
最新发布
GJ_ia的博客
01-14 545
第一次接触到目录遍历漏洞还是在 ThinkJS 2 的时候。代码如下图,目的是当用户访问的 URL 是静态资源的时候返回静态资源的地址。其中pathname就是用户访问的 URL 中的路径,我们发现代码中只是简单的解码之后就在22行将其与资源目录做了拼接,这就是非常明显的目录遍历漏洞了。为什么这么说呢?假设用户访问的 URL 是的话最终返回的文件地址就会变成的上三层目录中的文件了。
web安全目录遍历漏洞学习及绕过
m0re's blog
09-08 3494
本文目录目录遍历漏洞介绍一些绕过方式防御如何利用目录遍历上传shell并拿到一个低权限 目录遍历漏洞介绍 路径遍历攻击(也称为目录遍历)是指在访问储存在web根目录文件夹之外的文件和目录。通过操纵带有“点-斜线(…)”序列及其变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置和关键系统文件。 需要注意的是,系统操作访问控制(如在微软windows操作系统上锁定或使用文件)限制了对文件的访问权限。 这种攻击也称为 “点-点斜线”、“目录遍历”、“目
Joomla目录遍历导致RCE漏洞复现(CVE-2021-23132)
不想当脚本小子的脚本小子
03-14 1420
漏洞复现小王子又回来啦~ 有道云笔记链接::http://note.youdao.com/noteshare?id=399c71dbffbd2d59dc60d015f4a08839&sub=13C13D53B28D4F81AC366215FAC1101C
web渗透测试----6、目录遍历漏洞
七天
12-24 1937
文章目录一、目录遍历漏洞原理二、漏洞示例三、常见绕过四、绕过防御示例1、未进行任何防御2、双写进行绕过3、利用编码进行绕过4、利用%00截断后缀绕过5、利用文件路径绕过五、漏洞防御 一、目录遍历漏洞原理 目录遍历漏洞通过操纵引用带有“点-点-斜杠(…/)”序列及其变体的变量或使用绝对路径,攻击者可以读取运行在服务器上的任意文件,包括应用程序代码和数据、后端系统的凭据以及敏感的操作系统文件。在某些情况下,攻击者能够向服务器写入任意文件,从而允许他们修改应用程序数据或行为,并最终完全控制服务器。 二、漏洞
web漏洞-SQL注入漏洞目录遍历漏洞、文件下载漏洞
ran的博客
01-10 1263
在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞,可能会直接导致一家公司破产!SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值