云骑士一键装系统-简单一键在线装机工具,一键备份还原功能让系统维护更方便!
BIOS设置 win10教程 win7教程 U盘教程 xp教程 win8教程 电脑故障 电脑资讯 手机教程 软件教程 游戏攻略
当前位置:云骑士 > 使用教程 > 电脑资讯 > xss、csrf和sql注入的解决方案

xss、csrf和sql注入的解决方案

文案作者: 骑士
2019-07-18 08:38:30
播放量:

DDoS高防IP是针对互联网服务器(包括非翔云主机)在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,使系统安全、可靠、稳定、高效运行。

高防IP租用地址:https://www.aqxyun.com/lease/

3大Web安全漏洞防御: XSS、CSRF和SQL注入解决方案随着互联网的普及,网络安全变得越来越重要,程序员需要了解最基本的Web安全漏洞。 以下是一些常见的安全漏洞和相应的防御措施。

随着互联网的普及化,网络信息安全变得更加重要,程序猿需要掌握最基本的web安全防护,下面例举一些常见的网络安全问题和对应的防御力对策。

XSS、CSRF和SQL注入的解决方案

常见的Web安全问题

1.前端安全

XSS 漏洞

CSRF 漏洞

2.后端安全

SQL 注入漏洞

XSS漏洞

1.XSS简介

跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

2.XSS攻击的危害

1)盗取用户资料,比如:登录帐号、网银帐号等

2)利用用户身份,读取、篡改、添加、删除数据等

3)盗窃重要的具有商业价值的资料

4)非法转账

5)强制发送电子邮件

6)网站挂马

7)控制受害者机器向其它网站发起攻击

XSS、CSRF和SQL注入的解决方案(1)

3.防止XSS解决方案

XSS的根源主要是没完全过滤客户端提交的数据 ,所以重点是要过滤用户提交的信息。

1)将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了.

2)只允许用户输入我们期望的数据。 例如:age用户年龄只允许用户输入数字,而数字之外的字符都过滤掉。

3)对数据进行Html Encode 处理: 用户将数据提交上来的时候进行HTML编码,将相应的符号转换为实体名称再进行下一步的处理。

4)过滤或移除特殊的Html标签, 例如:

5)过滤js事件的标签。例如 "onclick=", "onfocus" 等等。

XSS、CSRF和SQL注入的解决方案(2)

CSRF攻击(跨站点请求伪造)

1.CSRF简介

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

XSS主要是利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求,来利用受信任的网站。与XSS攻击相比,CSRF更具危险性。

2.CSRF攻击的危害

主要的危害来自于,攻击者盗用用户身份,发送恶意请求。比如:模拟用户发送邮件,发消息,以及支付、转账等。

3.防止CSRF的解决方案

1)重要数据交互采用POST进行接收,当然是用POST也不是万能的,伪造一个form表单即可破解。

2)使用验证码,只要是涉及到数据交互就先进行验证码验证,这个方法可以完全解决CSRF。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。

3)验证HTTP Referer字段,该字段记录了此次HTTP请求的来源地址,最常见的应用是图片防盗链。

4)为每个表单添加令牌token并验证。

SQL注入漏洞

XSS、CSRF和SQL注入的解决方案(3)

1.简介

SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。

2.SQL注入的危害

数据库信息泄漏:数据库中存放的用户的隐私信息的泄露

网页篡改:通过操作数据库对特定网页进行篡改

数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改

服务器被远程控制,被安装后门

删除和修改数据库表信息

3.SQL注入的方式

通常情况下,SQL注入的位置包括:

(1)表单提交,主要是POST请求,也包括GET请求;

(2)URL参数提交,主要为GET请求参数;

(3)Cookie参数提交;

(4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;

4.简单举例

举一个简单的例子,select * from user where id=100 ,表示查询id为100的用户信息,如果id=100变为 id=100 or 2=2,sql将变为:select * from user where id=100 or 2=2,将把所有user表的信息查询出来,这就是典型的sql注入。

XSS、CSRF和SQL注入的解决方案(4)

5.防止SQL注入的解决方案

1)对用户的输入进行校验,使用正则表达式过滤传入的参数

2)使用参数化语句,不要拼接sql,也可以使用安全的存储过程

3)不要使用管理员权限的数据库连接,为每个应用使用权限有限的数据库连接

4)检查数据存储类型

5)重要的信息一定要加密

简而言之,不仅需要很好地过滤和编码并使用参数化语句,还需要加密重要信息,以便更好地解决SQL注入漏洞。

win10网络消失不能上网
图文
win10网络消失不能上网
按win+r打开运行,输入gpedit.msc,点击确定,进入本地组策略编辑器页面,依次展开用户配置,管理模板,点击开始菜单和任务栏,双击删除网络图标,选择...
阅读:1444 发布时间:2020-03-25
qq群课堂怎么分享屏幕
图文
qq群课堂怎么分享屏幕
登录pc端QQ,进入对应QQ群,找到课按钮,进入上课界面,通过下方的列表找到分享按钮,从列表中就能选择分享屏幕功能,对自己的当前屏幕内容进行一键...
阅读:995 发布时间:2020-11-19
rar格式文件怎么打开
图文
rar格式文件怎么打开
搜索WINRAR的资源并下载,将WINRAR安装会出现关联文件窗口,选上rar,然后确定就可以看到你的rar格式的文件图标变了,双击文件点击“解压到”解压到你想...
阅读:2342 发布时间:2020-11-25
ps如何把风景照片变成动漫风格
图文
ps如何把风景照片变成动漫风格
前期准备;首先,仍然是准备好你要处理的照片和动漫风格的天空素材;注意:这个只适合于处理风景,不适合处理人物。而且风景的处理也不适合车辆、...
阅读:446 发布时间:2020-08-30
换电脑ip软件怎么用
图文
换电脑ip软件怎么用
以花生代理为例,打开软件,注册成功后输入账号和密码,点击登录进入主页面,可以选择动态线路(非固定ip)或静态线路(固定ip),选择省份-城市,一键更...
阅读:201 发布时间:2021-06-22
固态硬盘重装系统方法
固态硬盘重装系统方法
浏览:10094
2019-09-10
索尼笔记本重装系统教程
索尼笔记本重装系统教程
浏览:12483
2020-10-15
电脑网速慢是什么原因
电脑网速慢是什么原因
浏览:18526
2018-07-23
笔记本进不了系统
笔记本进不了系统
浏览:13622
2019-11-29

客服二维码

邮箱:toplearningteam#gmail.com (请将#换成@)

Copyright 2013-2020 云骑士( https://www.yunqishi.net/ ) 版权所有 All Rights Reserved   鄂ICP备2023010145号-1