很多开发人员觉得天经地义的做法,都有可能成为被利用的漏洞。有兴趣可以研究一下入侵的手段,你会发现很多利用都是非常巧妙的。
web应用,最常见的两类漏洞就是SQL注入和XSS(跨站脚本),前者对威胁服务器,后者威胁终端用户。
要杜绝这两类问题,技术、原理都是非常简单的,就是很多开发人员根本没有那个意识。另外对xss来说,每个字段都要escape一下,是个体力活。
举个例子来说,针对注入的:
假设你是个论坛吧,他可以发个帖子(或者是其他的文本),把木马(他用来执行操作系统命令的jsp文件)放到帖子的正文里面,传到你的数据库的某个字段里面。
然后利用注入,执行数据库的命令,将字段里面的内容备份到文件系统的一个文件中,这样木马就传上去了。
问题1:他怎么知道哪个表哪个字段?
如果存在SQL注入,他是能分析你的数据库结构的。当然这需要比较高级的手段。不过针对很多通用的论坛系统或者是建站系统,数据库就是已知的了。
问题2:他怎么知道webapps的路径在哪里?
a、通过app server的漏洞可能会暴露脚本的路径;
b、有的服务器的错误页面会显示脚本的路径;
c、通过注入漏洞或其他漏洞获得管理员的帐号以后,进入管理界面,能够得到很多信息;
d、其他手段;
我这里只是个大概的说法,没有太多细节,因为我也没有专门研究过怎么黑别人的网站。不过针对注入、XSS的文章,网上一大把一大把的。
-----------------------------------------
预防措施:
一定要杜绝SQL注入问题,这个问题非常严肃,SQL注入可以利用的手段非常多,后果也非常严重。
除了操作系统的补丁,第三方软件的漏洞也会降低安全性。你这里至少包括数据库、tomcat、fck、甚至jdk、第三方jar等等都可以升级到大版本下的最新的补丁版本(即你用jdk1.5不一定要升到1.6,但要升级到1.5系列的最新版本)。
少留管理后门。管理员的密码要设置好。管理员越少越好,很多入侵都是从这里进入的,一点技术含量都没有,你还觉得黑客好高深。
最小权限原则,这个原则永远有用
针对数据库帐号,只授予最小的权限。
使用一个普通的操作系统用户运行tomcat,因为你是windows,NTFS默热是所有用户都可以读写的,所以你修改一下文件系统的权限,只让tomcat的用户能写log、tmp、fck的上传目录。fck的上传目录设置在web-inf下。这样即使黑客通过其他用户,比如数据库用户上传了jsp木马到你的war下,他也不能随意执行copy命令。
fck只允许上传特定的文件,比如pdf、doc、jsp。(总不能上传jsp吧)
关闭不需要的服务。
分享到:
相关推荐
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
面向SQL注入和XSS攻击的Web入侵检测系统的研究与实现 本文主要研究了面向SQL注入和XSS攻击的Web入侵检测系统的设计与实现。随着Web应用的快速发展,Web程序受到攻击的风险也随之增加,导致严重的数据泄露和财产损失...
"开发代码安全规范-防SQL注入和XSS跨站攻击代码编写规范" 随着技术的高速发展,Web应用被广泛使用,伴随而来的各种安全隐患也日益增加。其中,SQL注入和XSS跨站攻击是两个最为常见的安全漏洞类型。为了防止这些漏洞...
### 防止SQL注入和XSS攻击Filter详解 #### 一、背景介绍 在现代Web应用开发过程中,确保应用程序安全至关重要。其中两大常见的安全威胁是SQL注入与跨站脚本(Cross Site Scripting,简称XSS)攻击。这两种攻击方式...
论文《基于网络爬虫的SQL注入与XSS漏洞挖掘》
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
开发代码安全规范防SQL注入和XSS跨站攻击代码编写规范样本 随着技术的高速发展,Web应用被广泛使用,但同时也伴随着各种安全隐患。为了提高编程人员的安全意识和安全编程经验,本规范提供了防止SQL注入和XSS跨站...
【开发代码安全规范-防SQL注入和XSS跨站攻击】是针对互联网应用程序开发中的重要安全问题,旨在提升开发人员的安全编程意识,防止恶意攻击对系统和数据的破坏。SQL注入和XSS跨站脚本攻击是两种常见的网络安全威胁。 ...
【SQL注入】 SQL注入是一种常见的网络安全...综上所述,防止SQL注入和XSS攻击的关键在于对用户输入进行严格的控制和验证,以及采用安全的编程习惯。通过遵循上述规范和实践,可以显著降低Web应用遭受此类攻击的风险。
### 面向SQL注入和XSS攻击的Web入侵检测系统设计 #### 摘要解读与背景 随着互联网技术的飞速发展及其在日常生活中的广泛应用,网络安全问题日益凸显,尤其是针对Web应用的安全威胁,已经成为了学术界和产业界的...
开发代码安全规范旨在确保软件开发过程中对SQL注入和XSS跨站攻击的防范,这是互联网应用开发中的两个重要安全问题。以下是对这两个安全威胁的详细解释以及对应的代码编写规范: **SQL注入** 是一种常见的攻击手段,...
在网络安全领域,SQL注入和XSS(跨站脚本)攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,...
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。
本篇将探讨如何自己动手编写一个SQL注入漏洞扫描工具,通过分析提供的程序代码,我们可以了解基本的检测原理和技术。 首先,我们需要理解SQL注入的基本概念。当用户提交的数据被直接拼接到SQL查询中,而没有进行...
总之,这个项目提供了预防XSS和SQL注入的实例,对于学习如何在Spring Boot应用中实现安全防护非常有帮助。开发者可以通过研究项目源码,了解如何自定义过滤器、配置安全策略以及利用Spring Boot的安全特性,提升自己...
SQL注入和XSS攻击是网络安全领域中的两种常见威胁,它们主要针对基于Web的应用程序。本文将详细介绍这两种攻击方式,以及如何使用相应的工具进行防护和扫描。 **SQL注入** 是一种利用应用程序对用户输入数据处理...
ASP源码与SQL注入演示源码是一套用于教学和安全测试的代码库,它展示了如何在ASP(Active Server Pages)环境中构建应用,并且包含了常见的安全漏洞,如SQL注入和XSS(跨站脚本攻击)。这个压缩包是针对那些希望学习...
标题与描述概述的知识点主要集中在两个关键的网络安全领域——SQL注入和跨站脚本(Cross-Site Scripting,简称XSS或CSS)攻击。这两类攻击都是利用了应用程序的漏洞,尤其是那些没有对用户输入进行适当验证和过滤的...