网站的安全校验

最新推荐文章于 2023-02-15 17:44:07 发布
最新推荐文章于 2023-02-15 17:44:07 发布
阅读量1k 收藏
点赞数
分类专栏: 工作笔记 文章标签: xss攻击 安全校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xujunwei2010/article/details/71428300
版权

问题概述

XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。             

------来着百度百科

 

注入举例:

用户在系统可以进行输入数据的地方如:用户名用户直接把名字编辑为:

<script>alert(1)</script>

那么所有展现该用户名字的页面都会出现一个提示对话框。

如何防止

首先我们要了解数据的流向:

用户界面中输入数据----经过项目的拦截器过滤器后台业务处理通过getParameter等类似方法获取参数---保存数据库-----界面显示

 

第一个环节处理:

用户界面中输入在所有页面提交位置过滤把特殊字符转义。

不太现实工作量大,且用户也可以修改提交的数据完全无法控制。

第二个环节处理:

拦截器控制

首先我们想到的是定义个过滤器在web.xml中配置然后在过滤器中得到用户输入的参数,然后对其进行转义处理,然后重新设置Parameter参数。但是很快你就会发现Parameter参数是只读的不允许修改不信你自己试下。

 

(推荐下面的这个方法)

如果用了jfinal框架或者你的代码已经完成不想去做太大修改。

其实可以这样重写getParametergetParameterValuesgetParameterMap的方法

步骤一:

定义自己的HttpServletRequestWrapper


对用户输入的值调用自定义的check方法进行转义

Uncheck 方法对外提供,因为这种方式把用户所有的输入参数都进行了转义,但是问题来了有的地方确实不需要转义例如cms系统中有些文章内容可能就是一些html。针对这种情况可以在业务处理中对转义后的内容调用uncheck进行还原。

步骤二:

定义自己的过滤器


让自己的HttpServletRequestWrapper去获取用户的参数输入

步骤三:

配置web.xml

web.xml中配置一个过滤器要放在前面

 

完成。

 

第三个环节处理:

业务处理

requestgetParametergetParameterValuesgetParameterMap做一次二次封装这个方法很容易实现。

如果你项目已经完成想加入安全校验这样就改动地方就太多了。

 

第四个环节处理:

在保存数据库时候处理例如jfinal框架可以重写modelset方法对值进行转义可以扩展一个接口 getUncheck()获取当前model不需要转义的属性名称 set时候对其进行过滤不转义。

 

或者重写jfinalsave update方法对用户输入值进行转义。同样扩展一个接口 getUncheck()获取当前model不需要转义的属性名称 save update时候对其进行过滤不转义。

同样这样的方式也不舍用与已经完成的项目改动地方有点多。

第五个环节进行处理:

页面展现

页面取值都是通过后台setAttribute然后前端进行取值,可以在setAttribute把数据库的值进行一次转义。

 

优点:改动小用户输入什么就存入什么100%还原可查(意义不大)

缺点: 一般数据保存的次数远小于展现的次数 读的次数 >> 写的次数,每次展现的时候都会对所有数据进行一次转义浪费服务器资源。用时间换空间不划算。
xujunwei2010
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网站架构技术
10-09
大型网站架构演化 大型网站软件系统的特点 大型网站架构演化发展历程 初始阶段 应用服务和数据服务分离 使用缓存改善网站性能 缓存类型 本地缓存 分布式缓存 缓存产品 redis 业界主流 memcached 解决问题 数据库访问 使用应用服务器集群改善网站的并发处理能力 问题: 负载均衡情况下session状态的保持? 解决方案: 基于DNS的负载均衡 反向代理 ngix JK2 数据库的读写分离 问题: 读库与写库的数据同步 解决方案: 不同的数据库都有自己的数据库的主从复制功能 使用反向代理与CDN加速网站响应 反向代理产品 ngix 使用分布式文件系统和分布式数据库系统 使用no-sql和搜索引擎 站内搜索 lucene nutch 分词器 no-sql库 mongodb hadoop 业务拆分 web service restful 分布式服务 大型网站架构演化的价值观 核心价值:随网站所需灵活应对 驱动力量:网站的业务发展 网站架构设计误区 一味追随大公司的解决方案 为技术而技术 企图用技术解决一切问题 大型网站架构模式 架构模式 分层 分割 分布式 分布式应用和服务 分布式静态资源 分布式数据和存储 分布式计算 集群 缓存 CDN 反向代理 本地缓存 分布式缓存 异步 冗佘 冷备份 主从分离,实时同步实现热备份 灾备数据中心 自动化 发布过程自动化 ant maven. 自动化代码管理 svn cvs github 自动化测试 loadrunner hudson. 自动化安全测试 自动化部署 自动化报警 自动化失效转移 自动化失效恢复 自动化降级 自动化分配资源 安全 密码和手机校验码 数据库中的密码加密后存 -> 不可ni -> md5 加密 子主题 1 验证码 防止机器登录 对于攻击网站XSS攻击,SQL注入,进行编码转换 对垃圾信息,敏感信息进行过滤 对交易转账等重要操作根据交易模式和交易信息进行风险控制 Sina微博的应用 大型网站架构要素 性能 可用性 伸缩性 扩展性 安全性 瞬时响应:网站的高性能架构 网站的性能测试 不同的视角 用户的视角 开发人员的视角 运维人员的视角 性能测试指标 响应时间 并发数 吞吐量 性能测试方法 性能测试 负载测试 压力测试 稳定性测试 web 前端性能优化 浏览器优化 减少http请求 使用浏览器缓存 启用压缩 css上,js下 减少cookie传输, 静态资源使用独立域名访问 CDN加速 反向代理 应用服务器性能优化 分布式缓存 缓存的原理 合理使用缓存 频繁修改的数据 没有热点的访问 数据不一致和脏读 缓存可用性 缓存预热 缓存穿透 缓存架构 jboss cache为代表的需要更新同步的分布式级缓存 以memcached为代表的不互相通信的分布式缓存 异步操作 使用集群 代码优化 多线程 资源复用 单例 对象池 数据结构 垃圾回收 存储性能优化 固态硬盘 RAID与HDFS 万无一失:网站的高可用性 高可性的度量与考核 度量 考核 高可用的网站架构 高可用的应用 高可用的服务 高可用的数据 CAP原理 数据备份 失效转移 高可用网站的软件质量保证 网站发布 自动化测试 预发布验证 代码控制 自动化发布 灰度发布 网站运行临控 临控数据采集 临控管理 永无止境:网站的可伸缩性 网站架构的伸缩性设计 不同功能进行物理分离实现伸缩 单一功能通过集群规模实现伸缩 应用服务器集群的伸缩性设计 http重定向负载均衡 DNS域名解析负载均衡 反向代理负载均衡 ip负载均衡 数据链路层负载均衡 负载均衡算法 分布式缓存集群的伸缩性设计 memcached分布式缓存集群的访问模型 memcached分布式缓存集群的伸缩性挑战 分布式缓存的一致性hash算法 数据存储服务器集群的伸缩性设计 关系数据库集群的伸缩性设计 nosql数据库的伸缩性设计 随需应变:网站的可扩展性 构建可扩展的网站架构 利用分布式消息队列降低系统耦合性 事件驱动架构 分布式消息队列 利用分布式服务打造可复用的业务平台 web service与企业级分布式服务 大型网站分布式服务的需求与特点 分布式服务框架设计 可扩展的数据结构 利用开放平台建设网站生态圈 固若金汤:网站安全架构 网站应用攻击与防御 XSS攻击 反射型 持久型 防御方法 消毒 httponly 注入攻击 SQL注入攻击 攻击前提 获取数据库结构的方法 防御方法 消毒 参数绑定 OS注入攻击 CSRF攻击 防御方法 表单token 验证码 referer check 1. 网络流量统计 2. 防盗链 error code html注释 文件上传 web应用防火墙 modsecurity NEC的 siteshell 网站安全漏洞扫描 信息加密技术及密钥安全管理 案例: CSDN 信息加密技术分类 单项散列加密 对称加密 非对称加密 密钥安全管理 将密钥和算法放在一个独立的服务器上,对外提供加密和解密服务 密钥放在独立服务器中,算法放在应用程序中。 信息过滤与反垃圾 文本匹配_敏感词过滤 正则表达式 trie树 双数组trie树 多级Hash表 信息降噪 分类算法_内容识别 黑名单 电子商务风险控制 风险 账户风险 买家风险 卖家风险 交易风险 风控 人工 自动 规则引擎 统计模型 案例 网购秒杀系统架构 网购秒杀系统架构
计算机网络安全技术:使用web应用防火墙保护网站.pdf
05-12
使用web应用防火墙保护网站 WAF 的全称是 (Web Application Firewall)即Web 应用防火墙,简称 WAF 。Web 应用防火墙是通过执行一系列针对HTTP/HTTPS 的安全策略来 专门为Web 应用提供保护的一款产品。对于Web 应用系统的漏洞,可以使 用WAF ,进行安全防护。 WAF 工作在web 服务器之前,对基于HTTP 协议的通信进行检测和识 别。在用户请求到达Web 服务器前对用户请求进行扫描和过滤,分析并 校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或 有攻击行为的请求进行阻断或隔离。 WAF 的发展主要经历了IPS架构,反向代理,透明代理和流模式。 使用web应用防火墙保护网站 目前市面上的WAF 的形态可以简单分为三类,分别为:硬件WAF 、软件 WAF 、云WAF 。 ① 硬件WAF 通常的安装方式是将WAF设备串行接入到物 理网络中,部署在WEB 服务器前端,硬件WAF 拥有部 署简易,即插即用、可承受较高的吞吐量、防护范围 大等优点,而缺点是价格昂贵;硬件WAF 的发展主要 经历了IPS架构,反向代理,透明代理和流
中诺企业网站系统 2.0
05-01
中诺企业网站系统(zncms.cn)是中诺科技开发的中国首套基于FLEX、微软.net平台、SQL Server数据库的高端、免费企业建站系统,系统前台生成html、完全符合SEO、便捷的企业网站管理、搜索引擎推广等功能。 中诺科技开发的核心产品中诺企业网站系统(zncms)是充分按照SEO最佳标准来开发,营销实用性非常强企业建站系统。灵活的静态化控制,自定义模板,自定义URL等多元化定制大大增加了企业网站的各种需求空间。强大的模板自定义可以轻松打造出个性的栏目封面,文章列表,图片列表,下载列表,分类列表等等。 中诺企业网站系统更注重用户使用的体验,后台采用Flex,Flex应用程序与传统的HTML应用程序的主要区别在于Flex应用程序处理最适合在客户端运行,如字段校验、数据格式、分类、过滤、工具提示、合成视 频、行为及效果等。Flex 可使开发人员更好地交付应用程序,这种应用程序使用户可以迅速反应、在不同状态与显示间流畅过渡,并提供毫无中断的连续的工作流。 主体功能列表如下: 系统采用C#语言.net3.5和SQL Server平台开发,系统运行速度快、稳定; 支持生成html,支持自定义标题、自定义关键词、自定义描述、静态页面符合SEO最佳标准的功能; 自定义导航、网站栏目可根据需要自定义、网站无线扩展; 支持URL自定义; 数据库自主备份、下载管理数据更安全可靠 系统自动生成日志; 支持大附件上传; 支持新闻无限极栏目; 支持文章存入草稿箱; 拥有留言、招聘等常用模块; 支持自定义标键值,扩展性更强; 安装说明: 1、使用ftp软件上传Upload文件内的所有内容到网站空间 2、将空间的.net版本切换到.net3.5 3、设置空间目录读写权限为:读取与执行、写入,并给予NETWORK SERVICE用户权限 4、修改默认首页设置为:index.htm  Default.aspx  (注意先后顺序) 5、浏览 http://域名/Default.aspx  按照步骤进行安装即可 注:1)网站空间需支持ASP.NET3.5及以上版本    2)数据库需要MSSQL2005及以上版本    3)上传时如果最好将Upload内的文件压缩后再上传,然后在线解压,以节省上传时间
内容安全校验
bai259257的博客
05-25 1589
内容安全是识别服务,支持对图片、视频、文本、语音等对象进行多样化场景检测,有效降低内容违规风险。 目前很多平台都支持内容检测,如阿里云、腾讯云、百度AI、网易云等国内大型互联网公司都对外提供了API。下面演示阿里云内容安全第三方接口的使用。 一. 准备工作: 1. 注册阿里云账号(阿里云官网) 2. 打开云盾内容安全产品试用页面,单击立即开通,正式开通服务。开通服务后,可打开内容安全控制台查看数据统计 3. 在AccessKey管理页面可以管理AccessKeyID和AccessKeySecr
网络安全技术:加密、身份验证和防火墙
qq_47687701的博客
02-15 1010
当涉及到网络安全时,技术一直是保护系统免受攻击和数据泄露的关键。在这篇论文中,我将介绍一些当前在网络安全领域使用的关键技术,包括加密,身份验证和防火墙。 首先,加密是网络安全中最常见的技术之一。加密是指使用算法将数据转换为无法被破解的形式,从而保护数据的机密性。目前最常用的加密算法是AES和RSA。AES是一种对称加密算法,即加密和解密使用相同的密钥。RSA是一种非对称加密算法,使用一对公钥和私钥进行加密和解密。加密技术的应用包括保护传输的数据,保护存储的数据以及保护密码。 其次,身份验证是
Nginx网站添加访问校验
u013701217的博客
07-18 1244
背景 自己的网站需要做一个简单的访问权限校验,于是就想到了nginx可以做这个事儿。 随后就去网上搜了一下教程,结果没有几个说的比较全面的而且照做下来也没有成功,因此在这里做个记录,方便有需要的人能看到 过程 首先讲一下nginx的版本: 1.14.0 (如果版本不一样不保证我的教程是正确的)。 nginx使用的是ngx_http_auth_basic_module模块,此模块不需要安装直接可以...
网址校验
05-03 214
在:var reg=/^([hH][tT]{2}[pP]:\/\/|[hH][tT]{2}[pP][sS]:\/\/)(([A-Za-z0-9-~]+)\.)+([A-Za-z0-9-~\/])+$/;之中,1、Javascript之中,由于所有变量都是var,因此正则表达式必须写在两个斜杠之中,/.../,然后正则表达式里面的斜杠/必须写成\/2、^表示必须以……开头,[]表示一...
网站安全检测 登录认证多个方面安全分析
网站安全专家
12-23 1040
圣诞节很快就要到了,对渗透测试的热情仍然有增无减。我们SINE安全在此为用户认证登录安全制定一个全面的检测方法和要点Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息...
SpringSecurity框架 —— 安全校验
Thor_Selen_Liu的博客
07-27 1516
前言:     随着技术的不断发展和完善,极大的方便了我们的生活和工作。但也存在着很大的安全隐患,例如:黑客的攻击。如果没有一定的安全防护措施 将会带来巨大的 业务损失。安全访问控制 特别是大型企业 都非常重视的一个环节。 1. Spring Security 的入门介绍     Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式 的安全访问控制解决方案...
关于安全校验代码的一些心得
超胆孤侠
11-05 606
文章目录前言try catch 的使用 前言 我以前写代码的时候没有这个意识 但是看视频教程或者看其他人写的代码,发现前面都有一大堆这些冗杂代码,可能核心代码只有一两句 比如说,判断字典是否为空,按钮是否重复点击,try catch 等等诸如此类 我一开始只是生搬硬套,后来突然顿悟,对于这个出现的问题,到底是应该给出警告,还是直接错误呢,这完全是由我们写代码的人根据上下文的语境自己定义的 譬如说...
PHP软件安全编码规范V2.4.docx
07-30
2.4 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露 10 2.4.1 说明 10 2.4.2 应对 10 2.4.3 举例 10 2.5 屏蔽或定制化出错信息 10 2.5.1 说明 10 2.5.2 应对 11 2.5.3...
Web应用安全:Cookie参数越权.pptx
06-18
例如,用户A和用户B属于同一角色,拥有相同的权限等级,他们能获取自己的私有数据(数据A和数据B),但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据(数据B),...
各类防火墙测试
10-10 4903
2007年已经2个多月了,回首上年和本年初的网络安全市场可谓是风风火火,再创新高。不仅是杀毒软件,在防火墙的竞争上也非常激烈;很多老品牌陆续更新,包括著名的厂商ZA,OP,Kerio等等;还有出来历史不长的新产品,包括LNS,Comodo,Jetico等等;甚至有些防火墙最近几个月才诞生,包括界面漂亮,典雅的Ashampoo Firewall Pro和PC Tools Firewall Plus等
渗透与防御技术
热门推荐
YangYubo091699的博客
05-09 2万+
Kali操作系统的基本配置和使用 一、安装 下载KALI操作系统 https://www.kali.org/get-kali/ 二、修改root sudo passwd 三、基本工具介绍 信息搜集工具集: 主要面向网路、端口、服务识别、web指纹等一系列目标信息探测类的工具,常用工具有nmap masscan gobuster (zmap OneForAll) 漏洞分析工具集: 主要面向漏洞的发现、漏洞分析类的工具,漏洞主要面向系统、web、网络设备,常用的工具有 nikto web程序渗透
网站安全性测试
weixin_30873847的博客
06-14 896
安全性保护数据以防止不合法用户故意造成的破坏; 完整性保护数据以防止合法用户无意中造成的破坏; 安全性测试(security testing)是有关验证应用程序的安全服务和识别潜在注意: 安全性测试并不最终证明应用程序是安全的,而是用于验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的。 一个完整的WEB安全性测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、...
利用JWT判断用户登录以及安全校验
二缺和傻宝宝的博客
10-31 1万+
废话不多说,直接上代码,自己之前写过一篇介绍token的,有兴趣的话可以去翻看下。 1.首先先引用jar,项目是maven,贴出代码: io.jsonwebtoken jjwt 0.7.0 2.token工具类---TokenUtil.java,一个方法是生成token,另一个是校验token有效性,我这里没有查数据库,是把用户名和密码放
Elasticsearch初识与简单案例.pdf
最新发布
04-29
Elasticsearch是一个基于Lucene的分布式全文搜索引擎,提供灵活且高效的搜索和分析功能。通过HTTP请求和客户端库,用户可以索引和搜索文档,执行复杂查询,进行数据分析,并享受高亮显示等特性。其高级功能如复合查询、聚合分析、滚动搜索等,使其适用于各种数据处理和分析场景。Elasticsearch还具有强大的监控和日志功能,确保集群稳定运行。总之,Elasticsearch是企业级搜索和分析的理想选择。
checktool校验工具下载
09-08
首先,你可以在互联网上搜索checktool校验工具的官方网站。一般来说,官方网站会提供最新版本的下载链接。点击下载链接会打开一个下载页面,你可以选择合适的版本和操作系统,然后点击下载按钮。 另外,你也可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值