2. 程式人生 > >SQL注入和XSS攻擊

SQL注入和XSS攻擊

阿新 發佈:2018-11-24

SQL注入:
所謂SQL注入,就是通過把SQL命令插入到提交的Web表單或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令,導致資料庫中的資訊洩露或者更改。
防範:
1.永遠不要信任使用者的輸入,將使用者輸入的資料當做一個引數處理:
使用引數化的形式,也就是將使用者輸入的東西以一個引數的形式執行,而不是將使用者的輸入直接嵌入到SQL語句中,使用者輸入就被限於一個引數。
2.避擴音示詳細的錯誤資訊:
當用戶輸入錯誤的時候,避擴音示一些詳細的錯誤資訊,因為黑客們可以利用這些訊息,使用一種標準的輸入確認機制來驗證所有的輸入資料的長度、型別、語句、企業規則等。
3. 加密處理:
將使用者登入名稱、密碼等資料加密儲存。加密使用者輸入的資料,然後再將它與資料庫中儲存的資料比較,這相當於對使用者輸入的資料進行了“消毒”處理,使用者輸入的資料不再對資料庫有任何特殊的意義,從而也就防止了攻擊者注入SQL命令。
4.確保資料庫安全: 
鎖定你的資料庫的安全,只給訪問資料庫的web應用功能所需的最低的許可權,撤銷不必要的公共許可,如果web應用不需要訪問某些表,那麼確認它沒有訪問這些表的許可權。如果web應用只需要只讀的許可權,那麼就禁止它對此表的 drop 、insert、update、delete 的許可權,並確保資料庫打了最新補丁。

##################################################################

XSS攻擊(Cross Site Scripting), 中文名為跨站指令碼攻擊,指的是將xss程式碼植入到提供給其它使用者使用的頁面中,從而達到盜取使用者資訊和做一些違法操作,比如這些程式碼包括HTML程式碼和客戶端指令碼:
是發生在目標使用者的瀏覽器層面上的,當渲染DOM樹的過程成發生了不在預期內執行的JS程式碼時,就發生了XSS攻擊。
跨站指令碼的重點不在‘跨站’上,而在於‘指令碼’上。大多數XSS攻擊的主要方式是嵌入一段遠端或者第三方域上的JS程式碼。實際上是在目標網站的作用域下執行了這段js程式碼。
1.一旦在DOM解析過程成出現不在預期內的改變(JS程式碼執行或樣式大量變化時),就可能發生XSS攻擊
2.XSS分為反射型XSS,儲存型XSS和DOM XSS
3.反射型XSS是在將XSS程式碼放在URL中,將引數提交到伺服器。伺服器解析後響應,在響應結果中存在XSS程式碼,最終通過瀏覽器解析執行。
4.儲存型XSS是將XSS程式碼儲存到服務端(資料庫、記憶體、檔案系統等),在下次請求同一個頁面時就不需要帶上XSS程式碼了,而是從伺服器讀取。最典型的就是留言板XSS。使用者提交了一條包含XSS程式碼的留言到資料庫。當目標使用者查詢留言時,那些留言的內容會從伺服器解析之後加載出來。瀏覽器發現有XSS程式碼,就當做正常的HTML和JS解析執行。XSS攻擊就發生了。
5.DOM XSS攻擊不同於反射型XSS和儲存型XSS,DOM XSS程式碼不需要伺服器端的解析響應的直接參與,而是通過瀏覽器端的DOM解析。這完全是客戶端的事情。DOM XSS程式碼的攻擊發生的可能在於我們編寫JS程式碼造成的。我們知道eval語句有一個作用是將一段字串轉換為真正的JS語句,因此在JS中使用eval是很危險的事情,容易造成XSS攻擊。避免使用eval語句

XSS的危害:
1.XSS危害有通過document.cookie盜取使用者cookie
2.通過JS或CSS改變樣式
3.流量劫持(通過訪問某段具有window.location.href定位到其他頁面)
4.Dos攻擊:利用合理的客戶端請求來佔用過多的伺服器資源,從而使合法使用者無法得到伺服器響應。
5.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻擊)使用者的身份執行一些管理動作,或執行一些一般的如發微博、加好友、發私信等操作。
6.利用可被攻擊的域受到其他域信任的特點,以受信任來源的身份請求一些平時不允許的操作,如進行不當的投票活動。

XSS的預防:
1.過濾危險的DOM節點。如具有執行指令碼能力的script, 具有顯示廣告和色情圖片的img, 具有改變樣式的link, style, 具有內嵌頁面的iframe, frame等元素節點。
2.過濾危險的屬性節點。如事件, style, src, href等
3.對cookie設定httpOnly,對重要的cookie設定httpOnly,防止客戶端通過document.cookie讀取cookie。服務端可以設定此欄位
5.對使用者輸入資料的處理,1.編碼:不能對使用者輸入的內容都保持原樣,對使用者輸入的資料進行字元實體編碼 2.解碼:原樣顯示內容的時候必須解碼,不然顯示不到內容了。3.過濾:把輸入的一些不合法的東西都過濾掉,從而保證安全性。如移除使用者上傳的DOM屬性,如onerror,移除使用者上傳的Style節點,iframe, script節點等。

受到xss攻擊的網站事例:
1. 2011年6月新浪微博出現了一次比較大的XSS攻擊事件。大量使用者自動傳送一些資訊並關注一位名為hellosamy的使用者,一個小時完成修復
2. 百度貼吧xss攻擊事件
2014年3月六安吧等幾十個貼吧中帖子不斷轉發,病毒迴圈發帖。並且導致吧務人員,和吧友被封禁

 

參考連結:
https://www.cnblogs.com/unclekeith/p/7750681.html

 

相關推薦

php對前臺提交的表單資料做安全處理(防SQL注入XSS攻擊等)

/** * 防sql注入字串轉義 * @param $content 要轉義內容 * @return array|string */ public static function escapeString($content) { $pa

SQL注入XSS攻擊

SQL注入: 所謂SQL注入,就是通過把SQL命令插入到提交的Web表單或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令,導致資料庫中的資訊洩露或者更改。 防範: 1.永遠不要信任使用者的輸入,將使用者輸入的資料當做一個引數處理: 使用引數化的形式,也就是將使用者輸入的東西以一

防止SQL注入XSS跨站攻擊程式碼

這兩天用360網站安全檢測網站,檢測出SQL注入漏洞和XSS跨站攻擊指令碼N多項bug,然後上網找各種資料,把大部分的資料都看了一遍,最後自己總結了如下程式碼: a、防止SQL注入程式碼: //防止S

詳解SQL 注入XSS 攻擊、CSRF 攻擊

總結 身為一名 web 開發人員,應該去了解一下如何能夠進行 XSS 攻擊,這並不是要你去成為一名黑客去攻擊別人的網站,去盜取別人的資訊,而是去了解有哪些 XSS 攻擊場景,瞭解產生該漏洞的原因,從而去思考為什麼會產生這個 bug,如何去修復這個 bug。要想設計出更好的 XSS 過濾器,就必須得知道有

Django之sql注入XSS攻擊,CSRF攻擊原理及防護

sql注入的危害非法操作使用者資料庫的資料來獲取利益,通過修改資料庫來修改網頁的內容,注入木馬等比如下面的使用者登入時進行sql注入class LoginUnsafeView(View): def get(self,request): return r

springboot-防止sql注入xss攻擊,cros惡意訪問

springboot-防止sql注入,xss攻擊,cros惡意訪問 文章目錄 springboot-防止sql注入,xss攻擊,cros惡意訪問 1.sql注入 2.xss攻擊 3.csrf/cros 完

Django網站建設-sql注入xss攻擊、csrf攻擊

SQL注入 1.在網頁中利用sql語句進行注入攻擊,網頁獲取使用者輸入引數,但有些惡意使用者利用特殊sql語句上傳引數,後端獲取引數若不對其正確性合法性進行判斷,則有可能對資料庫造成危害 2.g

注入攻擊-SQL注入程式碼注入

注入攻擊 OWASP將注入攻擊和跨站指令碼攻擊(XSS)列入網路應用程式十大常見安全風險。實際上,它們會一起出現,因為 XSS 攻擊依賴於注入攻擊的成功。雖然這是最明顯的組合關係,但是注入攻擊帶來的不僅僅是 XSS。 注入攻擊代指一類攻擊,它們通過注入資料到一個網路應用程式以期獲得執行,亦或是通過非

JAVA WEB中處理防SQL注入|防XSS跨站指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

asp.net 360通用防護程式碼,防止sql注入xss跨站漏洞攻擊

這是360提供的一個aspx公用程式碼,可以防止sql注入漏洞,xss跨站攻擊漏洞,如果您的網站被360掃描,出現sql注入或跨站攻擊等相關漏洞,沒有較好的解決方案,倒是可以採用該方法進下防範。 -----------------使用方法------------

sql注入跨站指令碼攻擊

網站Web攻擊,主要有:sql注入,css攻擊,跨站指令碼攻擊,掛馬,緩衝區溢位等。         1.  sql注入:即通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令,比如先前的很多影視網站洩露VIP會員密碼

用Snort巧妙檢測SQL注入跨站指令碼攻擊

指令碼攻擊是最近網路上最瘋狂的攻擊方法了,很多伺服器配置了先進的硬體防火牆、多層次的安全體系,可惜最後對80埠的SQL注入和跨站指令碼攻擊還是沒有辦法抵禦,只能看著資料被惡意入侵者改的面目全非而毫無辦法——把你的Snort武裝起來吧,用它來檢測這樣的攻擊! 我們將以使用開放原

網路攻擊技術:SQL Injection(sql注入) 網路攻擊技術開篇——SQL Injection

網路攻擊技術開篇——SQL Injection   1.1.1 摘要       日前,國內最大的程式設計師社群CSDN網站的使用者資料庫被黑客公開發布,600萬用戶的登入名及密碼被公開洩露,隨後又有多家網站的使用者密碼

SQL注入解決方法

                         

怎樣防止CSRFXSS攻擊

本文說一下SpringMVC如何防禦CSRF(Cross-site request forgery跨站請求偽造)和XSS(Cross site script跨站指令碼攻擊)。 轉載:http://itindex.net/blog/2013/10/25/1382688

什麼是sql注入xss漏洞?

            XSS(Cross Site Script)跨站指令碼攻擊,指惡意攻擊者往web頁面插入惡意指令碼程式碼,而程式對於使用者輸入內容未過濾,當用戶瀏覽該頁面時,嵌入其中的web裡面的指令碼程式碼會被執行,從而達到惡意攻擊使用者的特殊目的。因此,一般在表單

linux之mysql資料庫搭建及sql注入防禦

mysql中文手冊下載地址:/data/2244392 sql注入各種姿勢:/10319657/1828167 sqlmap注入神器詳解:/10319657/1841241 資料庫分為三種基本形式 : (其實這些都是眾所周知的,只是為了知識的完整性,簡單的帶過

淺析history hack、心血漏洞、CSS欺騙、SQL注入與CSRF攻擊

漏洞產生的原因主要有系統機制和編碼規範兩方面,由於網路協議的開放性,目前以 Web 漏洞居多 關於系統機制漏洞的典型有JavaScript/CSS history hack,而編碼規範方面的漏洞典型有心血漏洞(Heart Bleed)。 在對漏洞概念有一定了解後,將搭建一個測試網站,對CSS欺騙、SQL注入

springboot 實現防止xss攻擊sql注入

一、xss攻擊和sql注入(可以使用IBM安全漏洞掃描工具) (1)XSS(Cross Site Scripting),即跨站指令碼攻擊,是一種常見於web application中的電腦保安漏洞。XSS通過在使用者端注入惡意的可執行指令碼,若伺服器端對使用者輸入不進行處理,直接將使用者輸入

Spring 防禦CSRF、XSSSQL注入攻擊

對每個post請求的引數過濾一些關鍵字,替換成安全的,例如:< > ' " \ /  # & 方法是實現一個自定義的HttpServletRequestWrapper,然後在Filter裡面呼叫它,替換掉getParameter函式即可。 首先新增一個X