web应用中常见39种不同的安全漏洞漏洞分析及检查方法.docxVIP

Web 应用中常见 39 种不同的安全漏洞漏洞分析及检查方法 1.1 SQL注入漏洞 风险等级：高危 漏洞描述： SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数 据进行合法性校验， 即没有进行有效地特殊字符过滤， 导致网站服务器存在安全 风险，这就是 SQL Injection ，即 SQL注入漏洞。 漏洞危害： 机密数据被窃取； 核心业务数据被篡改； 网页被篡改； 数据库所在服务器被攻击从而变为傀儡主机，导致局域网 ( 内网 ) 被入侵。修复建议： 在网页代码中对用户输入的数据进行严格过滤；（代码层） 部署 Web应用防火墙；（设备层） 对数据库操作进行监控。（数据库层） 代码层最佳防御 sql 漏洞方案： 采用 sql 语句预编译和绑定变量，是防御 sql 注入的最佳方法。 原因：采用了 PreparedStatement ，就会将 sql 语句： select id, no from user where id=? 预先编译好，也就是 SQL引擎会预先进行语法分析，产生语法树，生成执行计划，也就是说，后面你输入的参数，无论你输入的是什么，都不会影响该 sql 语句的 语法结构了，因为语法分析已经完成了，而语法分析主要是分 析 sql 命令，比如 select ,from ,where ,and, or ,order by 等等。所以即使 你后面输入了这些 sql 命令，也不会被当成 sql 命令来执行了，因为这些 sql 命令的执行， 必须先的通过语法分析， 生成执行计划，既然语法分析已经完成， 已经预编译过了，那么后面输入的参数，是绝对不可能作为 sql 命令来执行的，只会被当做字符串字面值参数，所以 sql 语句预编译可以防御 sql 注入。其他防御方式： 正则过滤 1.2 目录遍历漏洞 风险等级：中危 漏洞描述： 通过该漏洞可以获取系统文件及服务器的配置文件。利用服务器 API、文件标准 权限进行攻击。 漏洞危害： 黑客可获得服务器上的文件目录结构，从而下载敏感文件。 修复建议： 1) 通过修改配置文件，去除中间件（如 IIS 、apache、 tomcat ）的文件目录索 引功能 设置目录权限 在每个目录下创建一个空的 index.html 页面。 1.3 跨站脚本漏洞 XSS漏洞，利用跨站脚本漏洞可以在网站中插入任意代码， 它能够获取网站管理员或普通用户的 cookie ，隐蔽运行网页木马，甚至格式化浏览者的硬盘。 漏洞危害： 网络钓鱼，盗取管理员或用户帐号和隐私信息等； 劫持合法用户会话， 利用管理员身份进行恶意操作， 篡改页面内容、 进一步渗透网站； 网页挂马、传播跨站脚本蠕虫等； 控制受害者机器向其他系统发起攻击。 修复建议： 设置 httponly httponly 无法完全的防御 xss 漏洞，它只是规定了不能使用 js 去获取 cookie 的内容，因此它只能防御利用 xss 进行 cookie 劫持的问题。 Httponly 是在 set-cookie 时标记的，可对单独某个参数标记也可对全部参数标记。由于设置 httponly 的方法比较简单，使用也很灵活，并且对防御 cookie 劫持非常有用， 因此已经渐渐成为一种默认的标准。 xss filter Xss filter 往往是一个文本文件，里面包含了允许被用户输入提交的字符（也 有些是包含不允许用户提交的字符）。它检测的点在于用户输入的时候， xss filter 分为白名单与黑名单，推荐使用白名单，但即使使用白名单还是无法完全杜绝 xss 问题，并且使用不当可能会带来很高的误报率。编码转义 编码方式有很多，比如 html 编码、url 编码、16 进制编码、 javascript 编码等。在处理用户输入时，除了用 xss filter 的方式过滤一些敏感字符外，还需要配合编码，将一些敏感字符通过编码的方式改变原来的样子， 从而不能被浏览器当 js 代码执行。处理富文本 有些网页编辑器允许用户提交一些自定义的 html 代码，称之为”富文本”。想要在富文本处防御 xss 漏洞，最简单有效的方式就是控制用户能使用的标签， 限制为只能使用 a、div 等安全的标签。 处理所有输出类型的 xss 漏洞 xss 漏洞本质上是一种 html 注入，也就是将 html 代码注入到网页中。那么其防 御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义。 其他修复方案 开发者应该严格按照 openid 和 openkey 的校验规则判断 openid 和 openkey 是否合法，且判断其它参数的合法性，不合法不返回任何内容。 严格限制 URL参数输入值的格式，不能包含不必要的特殊字符（ %0d、