返回
web应用的安全防范

web应用的安全防范

ID:6129735

大小:81.50 KB

页数:7页

时间:2018-01-04

web应用的安全防范_第1页
web应用的安全防范_第2页
web应用的安全防范_第3页
web应用的安全防范_第4页
web应用的安全防范_第5页
资源描述:

《web应用的安全防范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Web数据安全sql注入所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.SQL注入成因:我们对表单数据处理时(特别是文本框)、以及Url传递参数是经常会产生例如userName=xxx;id=xxx的语句,这一类语句经常被我们传入到后台的一句SQL语句进行编译如select*fromUSERuwhereu.username=‘aaa’andu.password=xxx的语句当我们用参数拼接的方式构造此类SQL语句时。一旦黑客们在前台文本框或URL填上A

2、aa’or1=1一旦这个参数传入后代中这一句SQL就会成立在假设该人了解们系统的表结构或某些表的名称。甚至可以在后面加入删除表或数据的语句。后果不堪设想SQL注入的防范:1、永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等2、尽量不要使用拼装SQL的方式进行数据库操作。Java可以采用预编译的方式也可有效的防止SQL注入,或者使用一些持久层框架。3、没有必要不要使用管理员权限连接数据库4、对于异常信息不要暴漏给用户。防止不法分子利用异常测试表结构XSS跨站攻击XSS攻击:跨站

3、脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。XSS攻击原理以及频发区域:Web应用给用户与用户之间提供了一个良好的交互平台。如论坛可以让人们在网页上交流信息。但这也成为一些居心不良的黑客们的有利攻击点。比如一个黑客在某某留言版中写下如下代码〈/script〉〈scri

4、pt〉alert(‘test’)〈/script〉那么如果我们没有对用户在留言板中的输入做任何校验时。这段脚本将被展现到所有浏览过这留言版的用户。当然这段脚本是毫无意义的。只是弹出了一个提示框而已。但如果我们用window.location.href=xxx;这种类似脚本既可以实现简单的跨站攻击,在弹出页面就可以做黑客任意想做的事情。因为这个页面是黑客随意编写的木马页。频发区域:留言板。个性签名。论坛帖子、标题、邮箱邮件和一些可以提交到后台的错误日志信息等等。跨站攻击的防范和SQL注入防御一样,XSS攻击也是利用了Web页面的编写疏

5、忽,所以还有一种方法就是从Web应用开发的角度来避免:步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。步骤2、实现Session标记(sessiontokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行。步骤3、确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTT

6、Ponly的cookie。当然,如上操作将会降低Web业务系统的可用性,用户仅能输入少量的制定字符,人与系统间的交互被降到极致,仅适用于信息发布型站点。并且考虑到很少有Web编码人员受过正规的安全培训,很难做到完全避免页面中的XSS漏洞。数据传输安全每一个web应用的请求中都会带有很多信息。诸如表单中的信息、请求参数、主机地址等等、这些信息在传输过程中可能被拦截并加以利用。目前我们做的web应用程序都是基于网络的应用层。如果我们没有对传输数据进行加密或处理的话攻击者可以从多个层面多数据进行获取1、通过url参数获得这种方式也是最直接

7、最简单的方式。如我们在提交表单时候如果是get方式提交的话我们的url会显示http://xxxxxx?username=xxx&password=xxx;首先可以看到我们的信息暴漏无疑。还有叫攻击者很容易知道我们系统所接受的参数名称。可通过url进行SQL注入等攻击。1、表示层或传输层侵入当然我们操作的只是表示层,有些网络高手还可以以某些手短侵入网络其他层去获取我们的信息。解决方案对于第一种来说相对比较容易1、使用post来提交表单、如需要url传参时参照下2种方法2、当我们提交的表单货连接在iframe中时。路径会隐藏。3、利用

8、java.net.URLEncoder.encode(Base64编码(加密字串),StringCode)这样的方法来对url中的参数进行加密。如基本的单向加密算法:BASE64严格地说,属于编码格式,而非加密算法MD5(Messag

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。