WEB应用的常见5大攻击及预防-行业IT网Hangyeit.com-行业信息化,上行业IT网!Hangyeit.com         ITMOMO企业版
行业IT网 企业版
设为首页
收藏本站
点击登录 
马上注册
行业IT网企业版
导航-行业IT网企业版
 当前位置:首页 >党政军>动态
WEB应用的常见5大攻击及预防
作者:iteye发布时间:2019-07-03 10:39:28
1402 3 0

一、SQL注入

1、SQL注入的示例


2、SQL注入的预防策略

1)通过正则表达式,或限制长度,对单引号和双"-"进行转换等

2)尽量不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取

3)不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接

4 ) 不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息

5 ) 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装,把异常信    息存放在独立的表中

6 ) 使用WEB漏洞扫描工具检测程序相对比较明显的SQL注入问题

二、跨站脚本攻击

1、XSS跨站脚本实例

2、XSS跨站脚本的预防策略

1)显示用户数据时对 “<>&”等HTML符号进行编码转换

2)过滤必要的XHTML属性及各种编码,尤其在WEB提供样式功能的时候

3)设计时要考虑到关键内容不能直接显示用户输入的数据,要有转换或后台间接审核的过程

4)用WEB漏洞扫描工具对程序进行检测

三、没有限制URL访问

1、没有限制URL访问示例

http://xx.xxx.com/purchase/shoppingcart_pop.aspx?backurl=http://yyy.yyy.com/product.aspx?product_id=20230002

2、没有限制URL访问预防策略

1)目标地址应限制只跳转到当前域内

2)如果需要跳转到外部链接需要有url的白名单

四、越权访问

1、越权访问示例

A用户有权限增加产品记录,B用户没有权限增加记录,A通过http://product.xxxx.com/product.aspx?user_id=201这个链接可以增加记录,把这个链接改B用户的user_id后也有增加产品的记录

2、越权访问预防策略

1)你可以用request获得之前的页面路径:Request.getHeader("Referer");然后你可以判断一下,这个是字符串类型的。

2)如果是需要登录的,你可以从session中获取登录信息,然后判断

3)你可以通过上一个页面传参,本页面判断,如果不匹配就处理,参数可以放在session当中或者使用request.setAttribute();这个方法,不要URL传参

4)jsp防止直接通过url访问是通过过滤器实现的

五、登录提示信息

1、登录提示信息示例


登录提示

2、登录提示信息预防策略

作为程序的开发人员应该做到对登录提示信息的模糊化


作者:虫子的未来
链接:https://www.jianshu.com/p/854e4c715ab8
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。
分类:专家观点 | 工作交流 | 
行业:航空航天 | 软件和信息技术服务业 | 互联网和相关服务 | 电信 | 科技 | 
联系我时,请说在行业IT网看见的,谢谢!
其他动态
头条
公安部第三研究所胡永涛:eID网络身份
头条
中国工程院院士邬贺铨发布《大数据共享
头条
张一锋:区块链技术慎谈“颠覆” 数字
头条
张一鸣:是谁“设计”了字节跳动?
头条
【专访】微位科技李子阳:OCR扫描只是
头条
微软日本施行“上四休三”:“劳动生产
最新TOP10
高泽龙:重视信用制度建设 促进网络诚信交易
泰德时代集团董事长陈平:非典型商人
对话阳光卫视有限公司董事长陈平:困惑着探索着
赛智时代CEO赵刚:数字经济演变逻辑和2018年发展趋势
赛智时代赵刚:数字孪生城市建设的方法论和产业化路径
赛智时代创始人赵刚:互联网时代下的区块链,机遇与挑
新生第一堂思政课,听中央财经大学何秀超书记讲授“初
推动思想政治理论课建设守正创新
童道驰会见中央财经大学党委书记何秀超一行
共识经济学创立者郭善琪:区块链的共识与共识的区块链
IT烔烔眼
加为好友 在线聊天
 我的介绍
基本信息
求学经历
工作经历
资质证书
技术能力
 我的行业
功能树
   科技
  
 我的行为
2019-09-29 11:07:36浏览
中国电信罗松:电信特色区块链应用场景技术方案及实战方法论(附PPT)[动态]
2019-09-29 11:07:34浏览
中国电信罗松:电信特色区块链应用场景技术方案及实战方法论(附PPT)[动态]
2019-09-29 11:06:40浏览
中国电信罗松:电信特色区块链应用场景技术方案及实战方法论(附PPT)[动态]
2019-09-29 09:15:51浏览
中国电信罗松:电信特色区块链应用场景技术方案及实战方法论(附PPT)[动态]
2019-09-29 09:14:25点赞
中国电信罗松:电信特色区块链应用场景技术方案及实战方法论(附PPT)[动态]
2019-09-29 09:13:56浏览
中国电信罗松:电信特色区块链应用场景技术方案及实战方法论(附PPT)[动态]
2019-09-29 09:13:35浏览
中国电信罗松:电信特色区块链应用场景技术方案及实战方法论(附PPT)[动态]
2019-09-26 09:16:42浏览
中国电信罗松:电信特色区块链应用场景技术方案及实战方法论(附PPT)[动态]
2019-09-26 09:16:38浏览
中国电信罗松:电信特色区块链应用场景技术方案及实战方法论(附PPT)[动态]
2019-09-02 11:48:00浏览
2019中国企业500强榜单出炉(附名单),营收近80万亿[动态]
公司简介 法律申明 创始团队 人才招聘 投资洽谈 联系方式 帮助中心 通知公告
行业IT网 版权所有  ICP:京ICP备17008249号-1
地址:北京市海淀区建材城东路26号二十一世纪大厦C座216 电话:86-10-56288154 邮箱:sales@itmomo.com 联系人:荆经理
本站信息多为网友或机器算法获取发布,如有侵犯您的权益,请及时联系我们