智匯華云：Web常見安全漏洞分享

作者：佚名 2019-03-26 15:57:17

云計算 互聯網時代數據信息瞬息萬變，隨之而來的是各種網絡威脅、病毒等各種危害網絡安全的行為，網絡安全越來越受到大家的關注。華云數據本期“智匯華云”專欄將解析Web常見安全漏洞，與大家共同探討數字時代的安全問題。

成都創(chuàng)新互聯公司提供成都網站建設、成都網站設計、網頁設計，品牌網站建設，廣告投放等致力于企業(yè)網站建設與公司網站制作，10多年的網站開發(fā)和建站經驗,助力企業(yè)信息化建設，成功案例突破近千家,是您實現網站建設的好選擇.

互聯網時代數據信息瞬息萬變，隨之而來的是各種網絡威脅、病毒等各種危害網絡安全的行為，網絡安全越來越受到大家的關注。華云數據本期“智匯華云”專欄將解析Web常見安全漏洞，與大家共同探討數字時代的安全問題。

SQL注入

1、什么是SQL注入?

SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。具體來說，它是利用現有應用程序，將(惡意的)SQL命令注入到后臺數據庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的數據庫，而不是按照設計者意圖去執(zhí)行SQL語句。

2、如何注入?

例子: http://test.com/info?id=1

此URL返回數據庫某表的1條數據。程序中可能這么寫的，ID為傳入變量:

  
 
 
 

   
  
  
  
select * from user where id=‘”+id+“ ’; 
  
 
 
 

如上，那么查詢語句將是

  
 
 
 

   
  
  
  
select * from user where id = ‘1’ 
  
 
 
 

如果 id= 1‘ or ’1‘=’1,那么查詢語句將是

  
 
 
 

   
  
  
  
select * from user where id = ‘1’ or ‘1’=‘1’ 
  
 
 
 

3、SQL注入原因

①對提交的數據未過濾

②拼裝SQL語句

③不當的類型處理

4、SQL注入防御

(1)字符串長度驗證

僅接受指定長度范圍內的變量值。sql注入腳本必然會大大增加輸入變量的長度，通過長度限制，比如用戶名長度為 8 到 20 個字符之間，超過就判定為無效值。

(2)對單引號和雙"-"、下劃線、百分號等sql注釋符號進行轉義

(3)不使用動態(tài)拼裝SQL，使用參數化的SQL進行數據查詢存取

代碼示例：

  
 
 
 

   
  
  
  
String sql = "select id, no from user where id=?"; 
   
  
  
  
PreparedStatement ps  
   
  
  
  
= conn.prepareStatement(sql); 
   
  
  
  
ps.setInt(1, id); 
   
  
  
  
ps.executeQuery(); 
  
 
 
 

(4)框架防御： mybatis

① # 符號作用為 將傳入的數據都當成一個字符串，會對自動傳入的數據加一個雙引號。

如：where user_id= #{id}

如果傳入的值是111,那么解析成sql時的值為 where id ="111"

如果傳入的值是 1’=or ’1’=‘1’ ，則解析成的sql為 whereid “1’=or ’1’=‘1’ “

②$ 符號則是將傳入的數據直接生成在sql中。

如：where user_id= ‘${id}’

如果傳入的值是111,那么解析成sql時的值為 where id =‘111’

如果傳入的值是 1’=or ’1’=‘1’，則解析成的sql為 where _id =‘1’or ’1’=1’

結論：# 符號能夠防止SQL注入， $符號無法防止SQL注入，$ 符號一般用于傳入數據庫對象，例如傳入表名

XSS

1、什么是XSS?

往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達到實施威脅的特殊目的

2、XSS分類

(1)持久性的XSS(存儲在服務器端，威脅行為將伴隨著威脅數據一直存在)

(2)非持久性的XSS(一次性的，僅對當次的頁面訪問產生影響)

例子：將參數傳遞至頁面輸出

參數寫法：

  
 
 
 

   
  
  
  
index?value= 
  
 
 
 

頁面和JS寫法：