常见的web安全问题以及应对方式
SQL注入是一种常见的Web安全漏洞,***者利用这个漏洞,能够访问或修改数据,或者利用潜在的数据库漏洞进行***。SQL注入,就是经过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来讲,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它能够经过在Web表单中输入(恶意)SQL语句获得一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQL注入的本质:数据和代码未分离,即数据当作了代码来执行html
防护方法
- 严格限制Web应用的数据库的操做权限,给此用户提供仅仅可以知足其工做的最低权限,从而最大限度的减小注入***对数据库的危害
- 后端代码检查输入的数据是否符合预期,严格限制变量的类型,例如使用正则表达式进行一些匹配处理。
- 字符串长度验证,仅接受指定长度范围内的变量值。sql注入脚本必然会大大增长输入变量的长度,经过长度限制,好比用户名长度为 8 到 20 个字符之间,超过就断定为无效值。
- 对进入数据库的特殊字符(',",,<,>,&,*,; 等)进行转义处理,或编码转换。基本上全部的后端语言都有对字符串进行转义处理的方法,好比 lodash 的 lodash._escapehtmlchar 库。
- 全部的查询语句建议使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中,即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。
XSS (Cross-Site Scripting),跨站脚本***。跨站脚本***是指经过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种***。前端
跨站脚本***有可能形成如下影响:mysql
- 利用虚假输入表单骗取用户我的信息。
- 利用脚本窃取用户的Cookie值,被害者在不知情的状况下,帮助***者发送恶意请求。
- 显示伪造的文章或图片。
XSS 的原理是恶意***者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而能够达到***者盗取用户信息或其余侵犯用户安全隐私的目的。正则表达式
3、CSRFCSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web***,它利用用户已登陆的身份,在用户绝不知情的状况下,以用户的名义完成非法操做。sql
完成 CSRF ***必需要有三个条件:shell
- 用户已经登陆了站点 A,并在本地记录了 cookie
- 在用户没有登出站点 A 的状况下(也就是 cookie 生效的状况下),访问了恶意***者提供的引诱危险站点 B (B 站点要求访问站点A)。
- 站点 A 没有作任何 CSRF 防护
2.如何防护
- Get 请求不对数据进行修改
- 不让第三方网站访问到用户 Cookie
- 阻止第三方网站请求接口
- 请求时附带验证信息,好比验证码或者 Token
借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而致使的安全问题。数据库
1.referer的限制若是肯定传递URL参数进入的来源,咱们能够经过该方式实现安全限制,保证该URL的有效性,避免恶意用户本身生成跳转连接npm
2.加入有效性验证Token咱们保证全部生成的连接都是来自于咱们可信域的,经过在生成的连接里加入用户不可控的Token对生成的连接进行校验,能够避免用户生成本身的恶意连接从而被利用,可是若是功能自己要求比较开放,可能致使有必定的限制。后端
5、点击劫持经过iframe透明化,漏出来一个按钮,诱惑用户点击。浏览器
如何防护?
1.X-FRAME-OPTIONS是一个 HTTP 响应头,在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防护用 iframe 嵌套的点击劫持***。X-FRAME-OPTIONS有3个值可选:DENY,表示页面不容许经过 iframe 的方式展现SAMEORIGIN,表示页面能够在相同域名下经过 iframe 的方式展现ALLOW-FROM,表示页面能够在指定来源的 iframe 中展现
2.经过js的方法判断,来隐藏iframe显示的页面。
6、OS命令注入***OS命令注入***指经过Web应用,执行非法的操做系统命令达到***的目的。
https://example.com/ssss?z=23&y=222
如何防护?
1.后端对前端提交内容进行规则限制(好比正则表达式)。
2.在调用系统命令前对全部传入参数进行命令行参数转义过滤。
3.不要直接拼接命令语句,借助一些工具作拼接、转义预处理,例如 Node.js 的 shell-escape npm包
- 1. web安全扫描问题(常见的)分析以及解决方式
- 2. 常见的web安全问题及防范方法
- 3. 常见的web安全问题及解决方案
- 4. 常见的web安全问题总结
- 5. 关于web常见的安全问题
- 6. 三种常见的Web安全问题
- 7. Android应用安全常见问题及解决方案
- 8. 常见 Web 安全相关问题
- 9. web前端常见安全问题
- 10. 常见的web安全问题及防护
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • MySQL的版本以及版本号 - MySQL教程
- • 常用的分布式事务解决方案
- • PHP Ajax 跨域问题最佳解决方案
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. vs2019运行opencv图片显示代码时,窗口乱码
- 2. app自动化 - 元素定位不到?别慌,看完你就能解决
- 3. 在Win8下用cisco ××× Client连接时报Reason 422错误的解决方法
- 4. eclipse快速补全代码
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代码的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒发生变种 新文件名将带有“.UIWIX”后缀
- 8. 【原创】Python 源文件编码解读
- 9. iOS9企业部署分发问题深入了解与解决
- 10. 安装pytorch报错CondaHTTPError:******
- 1. web安全扫描问题(常见的)分析以及解决方式
- 2. 常见的web安全问题及防范方法
- 3. 常见的web安全问题及解决方案
- 4. 常见的web安全问题总结
- 5. 关于web常见的安全问题
- 6. 三种常见的Web安全问题
- 7. Android应用安全常见问题及解决方案
- 8. 常见 Web 安全相关问题
- 9. web前端常见安全问题
- 10. 常见的web安全问题及防护