2. 程式人生 > >web安全與防禦

web安全與防禦

阿新 發佈:2018-11-08

一、釣魚網站之XSS攻擊原理分析

將表單提交的指令碼:<script>for(var i=0;i<3;i++){alert("彈死你"+i);}</script> 中的特殊字元進行轉義,禁止指令碼執行。


pom.xml引入common-lang包

<dependency>
    <groupId>commons-lang</groupId>
    <artifactId>commons-lang</artifactId>
    <version>2.6</version>
 

</dependency>

/**
 * xss過濾器
 * Created by yz on 2018/4/9.
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private HttpServletRequest request;
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        this.request = request;
    }

    /**

 
     * 將request中的value值重寫一下,將一些指令碼引數 非法引數轉換成html元素執行
     * @param name
     * @return
     */
    @Override
    public String getParameter(String name) {
        String value = this.request.getParameter(name);
        if(!StringUtils.isEmpty(value)){
            System.out.println("轉換前 value:"+value);
            value = StringEscapeUtils.escapeHtml
 
(value);
            System.out.println("轉換後 value:"+value);
        }
        return value;
    }
}
import org.springframework.stereotype.Component;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * Created by yz on 2018/4/9.
 */
@Component
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("初始化方法...");
    }


    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("正常攔截請求...");
        HttpServletRequest req = (HttpServletRequest) request;
        XssHttpServletRequestWrapper xssWrapper = new XssHttpServletRequestWrapper(req);
        filterChain.doFilter(xssWrapper,response);
    }

    /**
     * 只執行一次
     */
    @Override
    public void destroy() {
        System.out.println("銷燬請求...");
    }
}
/**
 * Created by yz on 2018/4/9.
 */
@Controller
public class IndexController {

    @RequestMapping("/index")
    public ModelAndView index(HttpServletRequest request){
        String name = request.getParameter("name");
        System.out.println(name);
        ModelAndView modelAndView = new ModelAndView();
        modelAndView.addObject("name",name);
        modelAndView.setViewName("index");
        return modelAndView;
    }
}

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

/**
 * Created by yz on 2018/4/9.
 */
@SpringBootApplication
public class Application {
    public static void main(String[] args) {
        SpringApplication.run(Application.class);
    }
}

index.jsp

<%@ page contentType="text/html; charset=UTF-8" language="java"%>
<html>
<body>
<h2>Hello World!</h2>
<form name="form" method="post" action="<%=request.getContextPath() %>/index">
    <input type="text" name="name">
    <input type="submit" name="submit" value="提交">
</form>
name:${name}

<h3>我是A頁面</h3>
<img alt="" src="/log.png">
</body>
</html>



二、web安全之圖片防盜鏈


三、表單操作資料庫SQL注入


相關推薦

web安全防禦

一、釣魚網站之XSS攻擊原理分析 將表單提交的指令碼:<script>for(var i=0;i<3;i++){alert("彈死你"+i);}</script> 中的特殊字元進行轉義,禁止指令碼執行。 pom.xml引入common-lang包 <

Web安全防禦】簡析Sql注入防禦措施

個人資訊 就職: 聚項資訊科技有限公司 職位:中級Java開發工程師 負責:上汽系統開發與維護 院校:河南理工大學 專業:軟體工程12級 郵箱:[email protected] Q Q :10101000101001010111 1101111010

Web安全防禦措施

服務攻擊:針對程式漏洞進行攻擊常見的有: SQL注入攻擊檔案上傳攻擊XSS跨站指令碼攻擊CSRF(Cross-site request forgery)跨站請求偽造程式邏輯漏洞暴力攻擊:如DDOS,窮舉密碼等C段攻擊 某臺伺服器被攻陷後通過內網進行ARP、DNS等內網攻擊社

web安全防禦---2.DVWA之SQL注入

首先登入DVWA主頁: 1、修改安全級別為LOW級(第一次玩別打臉),如圖中DVWA Security頁面中。 2、進入SQL Injection頁面,出錯了。(心裡想著這DVWA是官網下的不至於玩

web前端安全防禦

大體進行總結了一下相關知識點,如下: 一、XSS:是跨站指令碼攻擊(Cross-Site Scripting)的簡稱。 1、簡介:XSS是指惡意攻擊者利用網站沒有對使用者提交資料進行轉義處理或者過濾不足的缺點,進而新增一些程式碼,嵌入到web頁面中去,使別的使用者訪問都會執行相應的嵌入程式碼

局域網的安全防禦

dhcp監聽 端口安全 網絡安全 信息安全 楊書凡 提到安全攻擊,往往會想到攻擊來自於互聯網,而內部的局域網安全問題被忽略。在企業局域網中也存在很多安全隱患,本篇博客介紹幾種局域網內部的安全攻擊與防禦常見的局域網攻擊1、MAC地址擴散攻擊 我們知道,交換機在轉發數據幀時,會查

AJAX請求真的不安全麽?談談Web安全AJAX的關系。

ref spl 返回 erer 頁遊 求和 請求 scripting 資料 開篇三問 AJAX請求真的不安全麽? AJAX請求哪裏不安全? 怎麽樣讓AJAX請求更安全? 前言 本文包含的內容較多,包括AJAX,CORS,XSS,CSRF等內容,要完整的看完並理解需要付出

web 安全效能

Apache Apache 案例 Apache : root Apache 子程序 : nobody HTDOCS 目錄 : /var/www /var/www |--include |--image |--temp |--... 很多人會將/var/www使用者與組設定為 nobo

Web前端安全——XSS攻擊防禦

跨站指令碼攻擊簡稱 XSS (Cross-Site Scriptting),是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。 XSS攻擊的危害: 1、盜取各類使用者帳號許可權(控制所盜竊許可權資料

【滲透課程】前言-揭開Web滲透安全的面紗(必看)

blank 可見 box 網站 大致 物理 org 知識點 get 服務器是怎麽被入侵的 攻擊者想要對一臺計算機滲透必須具備以下條件: 1、服務器與客戶端能夠正常通訊 (服務器是為客戶端提供服務的) 2、服務器向客戶端提供的權限(服務)或者說是端口。 服務端所提供的服務 早

asp.net web api 接口安全角色控制

unix時間戳 客戶 unix時間 space nal gui 接口安全 不同的 ict 1 API接口驗證與授權 JWT JWT定義,它包含三部分:header,payload,signature;每一部分都是使用Base64編碼的JSON字符串。之間以句號分隔。sign

WEB安全 php+mysql5註入防禦

lose sql語句 div 數據庫名 http 數據庫表 操作 是否 spa 註入利用函數:concat()函數將多個字符串連接成一個字符串database() 當前數據庫version() 數據庫版本user() 當前數據庫用戶@@version_compile

WEB安全 php+mysql5註入防禦(二)

tin 十六 data table into 一個數據庫 一個 mat 讀取配置文件 第四天:新的註入函數: ascii() substring("string",n,m) n>=1 limit n,m

Web安全之越權操作:橫向越權縱向越權

localhost new 用戶修改 情況 name 查看 普通用戶 新的 登錄 參考:http://blog.csdn.net/github_39104978/article/details/78265433 看了上面的文章,對越權操作的概念還是比較模糊,不明確實際場景。

白帽子講web安全——認證會話管理

在看白帽子講web安全,剛好看到認證與會話管理:也就是我們在平常滲透測試中遇到最多的登入頁面,也即是使用者名稱和密碼認證方式,這是最常見的認證方式。   瞭解兩個概念:認證和授權   1):認證的目的是為了認出使用者是誰。   2):授權的目的是為了決定使用者能夠做什麼。 書中列舉的例子很形象,假設系

騰訊大牛親授 Web 前後端漏洞分析防禦技巧

第1章 課程介紹介紹安全問題在web開發中的重要性,並對課程整體進行介紹1-1 Web安全課程介紹1-2 專案總覽 第2章 環境搭建本章節我們會搭建專案所需要的環境2-1 環境搭建上2-2 環境搭建下 第3章 前端XSS系統介紹XSS攻擊的原理、危害,以真實案例講解XSS帶來過的損失,最後以實戰程式碼講解

web安全之檔案上傳漏洞攻擊防範方法

一、 檔案上傳漏洞與WebShell的關係 檔案上傳漏洞是指網路攻擊者上傳了一個可執行的檔案到伺服器並執行。這裡上傳的檔案可以是木馬,病毒,惡意指令碼或者WebShell等。這種攻擊方式是最為直接和有效的,部分檔案上傳漏洞的利用技術門檻非常的低,對於攻擊者來說很容易實施。 檔案上傳漏洞本身就是一

Web安全之CSFRXSS

CSFR CSFR(Cross-Site Request Forgery跨站點偽造請求)是一種網路攻擊方式。攻擊者在使用者已經登入目標網站之後,誘使使用者訪問一個攻擊頁面,利用目標網站對使用者的信任,以使用者身份在攻擊頁面對目標網站發起一些惡意請求(如惡意發帖、改密碼、發郵件等),達到攻

Web安全系列(四):XSS 的防禦

簡介 XSS 的防禦很複雜,並不是一套防禦機制就能就解決的問題,它需要具體業務具體實現。 目前來說,流行的瀏覽器內都內建了一些 XSS 過濾器,但是這隻能防禦一部分常見的 XSS,而對於網站來說,也應該一直尋求優秀的解決方案,保護網站及使用者的安全,我將闡述一下網站在設計上該如何避免 XSS 的攻擊。 H

web安全之CSRFXSS

CSRF 1、CSRF的基本概念、縮寫、全稱 CSRF(Cross-site request forgery):跨站請求偽造。 PS:中文名一定要記住。英文全稱,如果記不住也拉倒。 2、CSRF的攻擊原理 開啟百度App,看更多美圖 使用者是網站A的註冊使用者,且