腾讯分分彩组三杀号 > Web分析 >

网络安全之Web应用漏洞攻击分析与防范

2018-07-09 00:54

  SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

  XML是的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改XML数据格式,增加新的XML节点,对数据处理流程产生影响。

  攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。

  XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

  绕过登录验证,非法登录系统;非法读取、篡改、添加、删除数据库中的数据;盗取用户的各类敏感信息,获取利益;通过修改数据库来修改网页上的内容;私自添加或删除账号;注入木马等等。

  只要系统有一处存在sql注入漏洞,被利用到,对系统将是致命的伤害。最糟糕的是攻击者拿到了数据库服务器最高级的权限,可以对整个数据库服务器的数据做任何操作。

  以用户名和密码来查询用户信息来判断是否存在该用户,但如果我更改输入内容,将userName改为:admin’—,则sql语句将变为:

  以这样方式执行后的sql,已经违背原程序所执行的意图,用户输入数据,意外变成了代码被执行,针对于SQL注入,则是用户提交的数据,被数据库系统编译而产生了开发者预期之外的动作。也就是,SQL注入是用户输入的数据,在拼接SQL语句的过程中,超越了数据本身,成为了SQL语句查询逻辑的一部分,然后这样被拼接出来的SQL语句被数据库执行,产生了开发者预期之外的动作。

  Sql注入问题已经由来已久,但现在仍会发现大量sql注入攻击的发生,这是因为框架不完善,程序员没有意识拼接sql所造成安全性问题,遗留老系统的更改的难度等等问题。

  永远也不要相信用户输入,输入验证假定所有输入都是恶意的,用户的输入是未知的,但我们可以引导我们的用户,按照系统要求去输入合法的数据。

  程序所需要做的,前端后端双重验证,由于前端验证很容易绕过,所以后端验证也是必须要的。

  在用户输入的数据传输到后台逻辑代码之前,拦截到该请求,并对该请求中的用户输入进行转义处理。

  一般情况下,没有特殊要求,不允许用户输入特殊字符,利用特殊字符的正则表达式,可以很容易判断用户是否输入特殊字符,如果输入,则告知用户重新输入。

  当出现以上情况时,说明系统没有对错误进行拦截,这样就会给黑客分析我们系统机会。

  黑客往往在第一次sql注入时,并不能造成什么实质性影响,但如果后台程序没有对错误进行相关处理,错误将直接返回给页面,那么黑客就可以根据返回错误内容不断调整sql语句,以达到他们的目的。所以后台拦截所有的错误提示,并返回我们想给用户展示的内容。数据验证可保护应用程序免遭恶意数据篡改,而有效的错误处理策略则是防止应用程序意外泄露内部错误消息(如异常堆栈跟踪)所不可或缺的。

  (1)现在的框架基本都有对错误的拦截的设置,最简单的就是在web.xml 中配置错误页面,当发生某些错误时,跳转到我们自己设置好的页面:

  (2)在controller中针对所有容易出错的处理,用try-catch包裹起来,捕捉错误,并进行相应处理。

  一提到sql注入的防范,最佳的方式是参数化查询,他从根本上防止sql注入攻击。

  关于参数化查询,首先要清楚一个概念,没有(运行时)编译,就没有注入。现在很多系统,在进行数据库操作的时候,往往会把参数直接拼接到sql中,然后在拿到数据库中编译运行,如果用户输入的数据包含某些sql语句,就很容易篡改我们的数据库。所以我们要做的就是使用预编译(Prepared statement),也就是将我们所要表达的sql语句预先编译,再讲用户数据以参数的形式传入到sql语句中,

  这样sql语句就不会改变原有的意思,无论用户输入的什么数据,都会认为是参数,而不是sql语句的一部分。

  第一种就是参数化查询方式,很好的避免了sql注入漏洞,#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。第二种需要注意,

  $方式一般用于传入数据库对象,例如传入表名,传入参数为int类型等,可以说应用的场景很少。

  XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。

  Xml注入与sql注入类似,当用户数据是以xml的形式存储或传输的,那么就可以输入xml中的标签来篡改xml的内容。

  你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。

  在讨论如何抵御 CSRF 之前,先要明确 CSRF 攻击的对象,也就是要保护的对象。从以上的例子可知,CSRF 攻击是黑客借助受害者的 cookie 骗取服务器的信任,但是黑客并不能拿到 cookie,也看不到 cookie 的内容。另外,对于服务器返回的结果,由于浏览器同源策略的限制,黑客也无法进行解析。因此,黑客无法从返回的结果中得到任何东西,他所能做的就是给服务器发送请求,以执行请求中所描述的命令,在服务器端直接改变数据的值,而非窃取服务器中的数据。所以,我们要保护的对象是那些可以直接产生数据改变的服务,而对于读取数据的服务,则不需要进行 CSRF 的保护。比如银行系统中转账的请求会直接改变账户的金额,会遭到 CSRF 攻击,需要保护。而查询余额是对金额的读取操作,不会改变数据,CSRF 攻击无法解析服务器返回的结果,无需保护。

  这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,这个方案可以完全解决CSRF,但此方案只能针对系统特定功能上,比如注册,登记,查询等,不可能每个请求的地方都用验证码。

  CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。

  根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需要访问 ,用户必须先登陆 bank.example,然后通过点击页面上的按钮来触发转账事件。这时,该转帐请求的 Referer 值就会是转账按钮所在的页面的 URL,通常是以 bank.example 域名开头的地址。而如果黑客要对银行网站实施 CSRF 攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行时,该请求的 Referer 是指向黑客自己的网站。因此,要防御 CSRF 攻击,银行网站只需要对于每一个转账请求验证其 Referer 值,如果是以 bank.example 开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求。

  XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

  XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XSS漏洞,另一种是Stored XSS漏洞。理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力。

  用户登录A网站,然后用户在某种情况下,点击了恶意网站B网站,B网站可能只有一个图片,图片属性访问了一个A网站的URL,这样恶意带着用户登录A网站后的cookie访问了A网站,而A网站无法知道此访问的是否是用户本人,从而造成了攻击。

  恶意用户登录A网站,并在A网站需要输入的地方,输入了恶意代码,当其他用户查询到恶意用户输入的信息后,代码便会执行,从而达到攻击很多人的目的。

  (1)针对DOM Based XSS的攻击,现在的主流浏览器都设置一个属性来防止js盗用cookie信息,此属性为HttpOnly

  (2)对输入项进行转义显示。将数据原封不动存入数据库,在取数据时,将数据进行转义显示。这样攻击代码不会被解释成代码标签执行。

  (4)对输入检查,严格限制输入项格式,输入项长度;对输出转义,对数据项有特殊符号,可能会发生xss攻击的,页面显示时进行转义处理。

  3.jstl c:out标签也可做转义操作,但是此方法需要在每个页面变量的地方加入,增加了编码复杂性。

  4. Jsoup是一款 Java 的HTML 解析器,可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API,可通过DOM,CSS以及类似于JQuery的操作方法来取出和操作数据。

  5. XSS HTMLFilter 这是一个采用Java实现的开源类库。用于分析用户提交的输入,消除潜在的跨站点脚本攻击(XSS),恶意的HTML,或简单的HTML格式错误。

  结论:针对登记系统特点,对一些需要输入很长文本的输入框要进行数据的转义操作,建议采用对输入项信息转义保存方法。在取数据时采用encodeForHTML方法。

  近日,人民日报公布了392所野鸡大学的名单,即使是仔细看,也容易被误导。那么,如何…

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。