- 1、本文档共20页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Web 应用中常见 39 种不同的安全漏洞漏洞分析及检查方法
1.1 SQL注入漏洞
风险等级:高危
漏洞描述:
SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数
据进行合法性校验, 即没有进行有效地特殊字符过滤, 导致网站服务器存在安全
风险,这就是 SQL Injection ,即 SQL注入漏洞。
漏洞危害:
机密数据被窃取;
核心业务数据被篡改;
网页被篡改;
数据库所在服务器被攻击从而变为傀儡主机,导致局域网 ( 内网 ) 被入侵。修复建议:
在网页代码中对用户输入的数据进行严格过滤;(代码层)
部署 Web应用防火墙;(设备层)
对数据库操作进行监控。(数据库层)
代码层最佳防御 sql 漏洞方案: 采用 sql 语句预编译和绑定变量,是防御 sql
注入的最佳方法。
原因:采用了 PreparedStatement ,就会将 sql 语句: select id, no from user where id=? 预先编译好,也就是 SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该 sql 语句的 语法结构了,因为语法分析已经完成了,而语法分析主要是分
析 sql 命令,比如 select ,from ,where ,and, or ,order by 等等。所以即使
你后面输入了这些 sql 命令,也不会被当成 sql 命令来执行了,因为这些 sql 命令的执行, 必须先的通过语法分析, 生成执行计划,既然语法分析已经完成,
已经预编译过了,那么后面输入的参数,是绝对不可能作为 sql 命令来执行的,只会被当做字符串字面值参数,所以 sql 语句预编译可以防御 sql 注入。其他防御方式: 正则过滤
1.2 目录遍历漏洞
风险等级:中危
漏洞描述:
通过该漏洞可以获取系统文件及服务器的配置文件。利用服务器 API、文件标准
权限进行攻击。
漏洞危害:
黑客可获得服务器上的文件目录结构,从而下载敏感文件。
修复建议:
1) 通过修改配置文件,去除中间件(如 IIS 、apache、 tomcat )的文件目录索
引功能
设置目录权限
在每个目录下创建一个空的 index.html 页面。
1.3 跨站脚本漏洞
XSS漏洞,利用跨站脚本漏洞可以在网站中插入任意代码, 它能够获取网站管理员或普通用户的 cookie ,隐蔽运行网页木马,甚至格式化浏览者的硬盘。
漏洞危害:
网络钓鱼,盗取管理员或用户帐号和隐私信息等;
劫持合法用户会话, 利用管理员身份进行恶意操作, 篡改页面内容、 进一步渗透网站;
网页挂马、传播跨站脚本蠕虫等;
控制受害者机器向其他系统发起攻击。
修复建议:
设置 httponly
httponly 无法完全的防御 xss 漏洞,它只是规定了不能使用 js 去获取 cookie 的内容,因此它只能防御利用 xss 进行 cookie 劫持的问题。 Httponly 是在 set-cookie 时标记的,可对单独某个参数标记也可对全部参数标记。由于设置
httponly 的方法比较简单,使用也很灵活,并且对防御 cookie 劫持非常有用,
因此已经渐渐成为一种默认的标准。
xss filter
Xss filter 往往是一个文本文件,里面包含了允许被用户输入提交的字符(也
有些是包含不允许用户提交的字符)。它检测的点在于用户输入的时候, xss filter 分为白名单与黑名单,推荐使用白名单,但即使使用白名单还是无法完全杜绝 xss 问题,并且使用不当可能会带来很高的误报率。编码转义
编码方式有很多,比如 html 编码、url 编码、16 进制编码、 javascript 编码等。在处理用户输入时,除了用 xss filter 的方式过滤一些敏感字符外,还需要配合编码,将一些敏感字符通过编码的方式改变原来的样子, 从而不能被浏览器当
js 代码执行。处理富文本
有些网页编辑器允许用户提交一些自定义的 html 代码,称之为”富文本”。想要在富文本处防御 xss 漏洞,最简单有效的方式就是控制用户能使用的标签, 限制为只能使用 a、div 等安全的标签。
处理所有输出类型的 xss 漏洞
xss 漏洞本质上是一种 html 注入,也就是将 html 代码注入到网页中。那么其防
御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义。
其他修复方案
开发者应该严格按照 openid 和 openkey 的校验规则判断 openid 和 openkey
是否合法,且判断其它参数的合法性,不合法不返回任何内容。
严格限制 URL参数输入值的格式,不能包含不必要的特殊字符( %0d、
您可能关注的文档
- a科研院所改制企业信息化管理优化研究.docx
- a股上市公司并购绩效及影响因素实证研究.docx
- a省移动转型期发展战略及措施研究.docx
- act作文想要取得高分,除了在文章结构和论证思路上下功.docx
- a能源集团财务战略分析与选择研究.docx
- a钢铁集团财务公司产业链金融信用风险管理研究.docx
- a银行b分行员工内部案件防控管理研究.docx
- a股份有限责任公司的内部控制缺陷的研究.docx
- a银行太原分行员工工作压力及管理策略研究.docx
- a银行h省分行不良贷款成因与风险管理策略研究.docx
- GB/T 34877.4-2024工业风机 标准实验室条件下风机声功率级的测定 第4部分:声强法.pdf
- 中国国家标准 GB/T 34877.4-2024工业风机 标准实验室条件下风机声功率级的测定 第4部分:声强法.pdf
- 中国国家标准 GB/T 5578-2024固定式发电用汽轮机规范.pdf
- GB/T 5578-2024固定式发电用汽轮机规范.pdf
- 《GB/T 5578-2024固定式发电用汽轮机规范》.pdf
- 《GB/T 4340.1-2024金属材料 维氏硬度试验 第1部分:试验方法》.pdf
- GB/T 4340.1-2024金属材料 维氏硬度试验 第1部分:试验方法.pdf
- 中国国家标准 GB/T 4340.1-2024金属材料 维氏硬度试验 第1部分:试验方法.pdf
- GB/T 43995-2024数字航天摄影测量 空中三角测量规范.pdf
- 中国国家标准 GB/T 43995-2024数字航天摄影测量 空中三角测量规范.pdf
最近下载
- 课程设计-卧式多轴钻孔机床液压系统设计.doc VIP
- 2023版《江苏省安全生产条例》《江苏省消防条例》-法规考试卷.doc VIP
- 2023版《江苏省安全生产条例》《江苏省消防条例》-法规考试卷-含答案.pdf VIP
- 上海松江污水处理厂有限公司招聘笔试题库2023.pdf
- 马工程《中国古代文学史》下册第七编明朝文学--全套PPT课件.pptx
- 2023年南京市建邺区初三中考二模英语试题卷(含答案).pdf
- 中国黄金集团 笔试题.pdf
- 国际直接投资(中央财经)中国大学MOOC慕课 章节测验期末考试答案.docx
- 2024年江苏省中考历史试题卷(含答案解析).docx
- 2023年南京市鼓楼区初三中考二模历史试题卷(含答案).pdf
文档评论(0)