`
windywindy
  • 浏览: 170710 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

SQL注入和XSS

阅读更多
  很多开发人员觉得天经地义的做法,都有可能成为被利用的漏洞。有兴趣可以研究一下入侵的手段,你会发现很多利用都是非常巧妙的。

  web应用,最常见的两类漏洞就是SQL注入和XSS(跨站脚本),前者对威胁服务器,后者威胁终端用户。

  要杜绝这两类问题,技术、原理都是非常简单的,就是很多开发人员根本没有那个意识。另外对xss来说,每个字段都要escape一下,是个体力活。

举个例子来说,针对注入的:
假设你是个论坛吧,他可以发个帖子(或者是其他的文本),把木马(他用来执行操作系统命令的jsp文件)放到帖子的正文里面,传到你的数据库的某个字段里面。
然后利用注入,执行数据库的命令,将字段里面的内容备份到文件系统的一个文件中,这样木马就传上去了。
问题1:他怎么知道哪个表哪个字段?
如果存在SQL注入,他是能分析你的数据库结构的。当然这需要比较高级的手段。不过针对很多通用的论坛系统或者是建站系统,数据库就是已知的了。
问题2:他怎么知道webapps的路径在哪里?
a、通过app server的漏洞可能会暴露脚本的路径;
b、有的服务器的错误页面会显示脚本的路径;
c、通过注入漏洞或其他漏洞获得管理员的帐号以后,进入管理界面,能够得到很多信息;
d、其他手段;

我这里只是个大概的说法,没有太多细节,因为我也没有专门研究过怎么黑别人的网站。不过针对注入、XSS的文章,网上一大把一大把的。

-----------------------------------------
预防措施:

一定要杜绝SQL注入问题,这个问题非常严肃,SQL注入可以利用的手段非常多,后果也非常严重。

除了操作系统的补丁,第三方软件的漏洞也会降低安全性。你这里至少包括数据库、tomcat、fck、甚至jdk、第三方jar等等都可以升级到大版本下的最新的补丁版本(即你用jdk1.5不一定要升到1.6,但要升级到1.5系列的最新版本)。

少留管理后门。管理员的密码要设置好。管理员越少越好,很多入侵都是从这里进入的,一点技术含量都没有,你还觉得黑客好高深。

最小权限原则,这个原则永远有用
针对数据库帐号,只授予最小的权限。
使用一个普通的操作系统用户运行tomcat,因为你是windows,NTFS默热是所有用户都可以读写的,所以你修改一下文件系统的权限,只让tomcat的用户能写log、tmp、fck的上传目录。fck的上传目录设置在web-inf下。这样即使黑客通过其他用户,比如数据库用户上传了jsp木马到你的war下,他也不能随意执行copy命令。
fck只允许上传特定的文件,比如pdf、doc、jsp。(总不能上传jsp吧)

关闭不需要的服务。
分享到:
评论

相关推荐

    防sql注入和xss攻击, springmv拦截器

    防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符

    面向SQL注入和XSS攻击的Web入侵检测系统的研究与实现 (1).pdf

    面向SQL注入和XSS攻击的Web入侵检测系统的研究与实现 本文主要研究了面向SQL注入和XSS攻击的Web入侵检测系统的设计与实现。随着Web应用的快速发展,Web程序受到攻击的风险也随之增加,导致严重的数据泄露和财产损失...

    开发代码安全规范-防SQL注入和XSS跨站攻击代码编写规范.doc

    "开发代码安全规范-防SQL注入和XSS跨站攻击代码编写规范" 随着技术的高速发展,Web应用被广泛使用,伴随而来的各种安全隐患也日益增加。其中,SQL注入和XSS跨站攻击是两个最为常见的安全漏洞类型。为了防止这些漏洞...

    防止SQL注入和XSS攻击Filter

    ### 防止SQL注入和XSS攻击Filter详解 #### 一、背景介绍 在现代Web应用开发过程中,确保应用程序安全至关重要。其中两大常见的安全威胁是SQL注入与跨站脚本(Cross Site Scripting,简称XSS)攻击。这两种攻击方式...

    论文《基于网络爬虫的SQL注入与XSS漏洞挖掘》

    论文《基于网络爬虫的SQL注入与XSS漏洞挖掘》

    预防XSS攻击和SQL注入XssFilter

    一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...

    开发代码安全规范防SQL注入和XSS跨站攻击代码编写规范样本.doc

    开发代码安全规范防SQL注入和XSS跨站攻击代码编写规范样本 随着技术的高速发展,Web应用被广泛使用,但同时也伴随着各种安全隐患。为了提高编程人员的安全意识和安全编程经验,本规范提供了防止SQL注入和XSS跨站...

    开发代码安全规范-防SQL注入和XSS跨站攻击代码编写规范.pdf

    【开发代码安全规范-防SQL注入和XSS跨站攻击】是针对互联网应用程序开发中的重要安全问题,旨在提升开发人员的安全编程意识,防止恶意攻击对系统和数据的破坏。SQL注入和XSS跨站脚本攻击是两种常见的网络安全威胁。 ...

    SQL注入和XSS跨站攻击安全规范1

    【SQL注入】 SQL注入是一种常见的网络安全...综上所述,防止SQL注入和XSS攻击的关键在于对用户输入进行严格的控制和验证,以及采用安全的编程习惯。通过遵循上述规范和实践,可以显著降低Web应用遭受此类攻击的风险。

    面向SQL注入和XSS攻击的Web入侵检测系统的设计 论文.docx

    ### 面向SQL注入和XSS攻击的Web入侵检测系统设计 #### 摘要解读与背景 随着互联网技术的飞速发展及其在日常生活中的广泛应用,网络安全问题日益凸显,尤其是针对Web应用的安全威胁,已经成为了学术界和产业界的...

    开发代码安全规范-防SQL注入和XSS跨站攻击代码编写规范.docx

    开发代码安全规范旨在确保软件开发过程中对SQL注入和XSS跨站攻击的防范,这是互联网应用开发中的两个重要安全问题。以下是对这两个安全威胁的详细解释以及对应的代码编写规范: **SQL注入** 是一种常见的攻击手段,...

    扫描sql注入与xss攻击的牛b工具

    在网络安全领域,SQL注入和XSS(跨站脚本)攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,...

    SQL 注入和 XSS 漏洞详解

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。

    自己动手编写SQL注入漏洞扫描工具

    本篇将探讨如何自己动手编写一个SQL注入漏洞扫描工具,通过分析提供的程序代码,我们可以了解基本的检测原理和技术。 首先,我们需要理解SQL注入的基本概念。当用户提交的数据被直接拼接到SQL查询中,而没有进行...

    java web Xss及sql注入过滤器.zip

    总之,这个项目提供了预防XSS和SQL注入的实例,对于学习如何在Spring Boot应用中实现安全防护非常有帮助。开发者可以通过研究项目源码,了解如何自定义过滤器、配置安全策略以及利用Spring Boot的安全特性,提升自己...

    SQL注射与XSS攻击的牛B工具

    SQL注入和XSS攻击是网络安全领域中的两种常见威胁,它们主要针对基于Web的应用程序。本文将详细介绍这两种攻击方式,以及如何使用相应的工具进行防护和扫描。 **SQL注入** 是一种利用应用程序对用户输入数据处理...

    asp源码-sql注入演示源码.zip

    ASP源码与SQL注入演示源码是一套用于教学和安全测试的代码库,它展示了如何在ASP(Active Server Pages)环境中构建应用,并且包含了常见的安全漏洞,如SQL注入和XSS(跨站脚本攻击)。这个压缩包是针对那些希望学习...

    SQL注入技术和跨站脚本的安全检测

    标题与描述概述的知识点主要集中在两个关键的网络安全领域——SQL注入和跨站脚本(Cross-Site Scripting,简称XSS或CSS)攻击。这两类攻击都是利用了应用程序的漏洞,尤其是那些没有对用户输入进行适当验证和过滤的...

Global site tag (gtag.js) - Google Analytics