智汇华云:Web常见安适缝隙分享

时间:2022-02-28 19:07:44

 

智汇华云:Web常见安适缝隙分享

 
互联网时代数据信息瞬息万变,随之而来的是各类网络威胁、病毒入侵等各类风险网络安适的行为,网络安适越来越受到大家的存眷。华云数据本期“智汇华云”专栏将解析Web常见安适缝隙,与大家配合探讨数字时代的安适问题。

SQL注入  
1、什么是SQL注入?
 
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的盘问字符串,最终到达欺骗处事器执行恶意的SQL命令。具体来说,它是操作现有应用措施,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安适缝隙的网站上的数据库,而不是凭据设计者意图去执行SQL语句。
 
2、如何注入?
 
例子:   ?id=1
此URL返回数据库某表的1条数据。措施中可能这么写的,ID为传入变量: 
   select * from user where id=‘”+id+“ ’;  
如上,那么盘问语句将是
select * from user where id = ‘1’
如果 id= 1‘ or ’1‘=’1,那么盘问语句将是
select * from user where id = ‘1’ or ‘1’=‘1’
 
3、SQL注入原因
 
①对提交的数据未过滤
②拼装SQL语句
③不当的类型措置惩罚惩罚
 
4、SQL注入防御
 
(1)字符串长度验证
仅接受指定长度范畴内的变量值。sql注入脚本一定会大大增加输入变量的长度,通过长度限制,好比用户名长度为 8 到 20 个字符之间,赶过就判定为无效值。
 
(2)对单引号和双"-"、下划线、百分号等sql注释标记进行转义
 
(3)不使用动态拼装SQL,使用参数化的SQL进行数据盘问存取
 
代码示例:
 
String sql = "select id, no from user where id=?";
PreparedStatement ps 
= conn.prepareStatement(sql);
ps.setInt(1, id);
ps.executeQuery();
 
(4)框架防御: mybatis 
① # 标记感化为 将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
如:where user_id= #{id}
如果传入的值是111,那么解析成sql时的值为 where id  ="111"
如果传入的值是 1’=or ’1’=‘1’ ,则解析成的sql为 whereid “1’=or ’1’=‘1’ “
 
②$ 标记则是将传入的数据直接生成在sql中。
如:where user_id= ‘${id}’
如果传入的值是111,那么解析成sql时的值为 where id  =‘111’
如果传入的值是 1’=or ’1’=‘1’,则解析成的sql为 where _id =‘1’or ’1’=1’
结论:# 标记能够防备SQL注入, $标记无法防备SQL注入,$ 标记一般用于传入数据库东西,例如传入表名
  XSS  
1、什么是XSS
往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入此中Web里面的html代码会被执行,从而到达恶意打击用户的特殊目的
 
2XSS分类
(1)长期性的XSS(存储在处事器端,打击行为将陪同着打击数据一直存在)
(2)非长期性的XSS(一次性的,仅对当次的页面访谒孕育产生影响)
例子:将参数通报至页面输出
参数写法: index?value=<script>alert(document.cookie)</script>
页面和JS写法:

 

     |    $(‘#xss’).html(value);
 
3XSS风险
执行任意JS代码。最常见的做法是获取COOKIE认证信息;其他的就是跳转至恶意网址等,或者共同CSRF缝隙,进行创建form表单,进行提交,强制使当前用户操纵,好比发帖,删帖,甚至转账等。
 
4 XSS防护
(1)过滤用户输入的内容,常见的是过滤 ‘、”、;、< 、>
(2)在用户提交数据时,对数据进行编码措置惩罚惩罚。
(3)在输出页面时,对数据进行编码措置惩罚惩罚。
 
  CSRF  
1、什么是CSRF
 
伪造请求,冒充用户在站内的正常操纵
 
2CSRF打击道理