WEB应用的常见5大攻击及预防-行业IT网Hangyeit.com-行业信息化,上行业IT网!Hangyeit.com         ITMOMO企业版
行业IT网 企业版
设为首页
收藏本站
点击登录 
马上注册
行业IT网企业版
导航-行业IT网企业版
 当前位置:首页 >党政军>动态
WEB应用的常见5大攻击及预防
作者:iteye发布时间:2019-07-03 10:39:28
88 2 0

一、SQL注入

1、SQL注入的示例


2、SQL注入的预防策略

1)通过正则表达式,或限制长度,对单引号和双"-"进行转换等

2)尽量不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取

3)不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接

4 ) 不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息

5 ) 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装,把异常信    息存放在独立的表中

6 ) 使用WEB漏洞扫描工具检测程序相对比较明显的SQL注入问题

二、跨站脚本攻击

1、XSS跨站脚本实例

2、XSS跨站脚本的预防策略

1)显示用户数据时对 “<>&”等HTML符号进行编码转换

2)过滤必要的XHTML属性及各种编码,尤其在WEB提供样式功能的时候

3)设计时要考虑到关键内容不能直接显示用户输入的数据,要有转换或后台间接审核的过程

4)用WEB漏洞扫描工具对程序进行检测

三、没有限制URL访问

1、没有限制URL访问示例

http://xx.xxx.com/purchase/shoppingcart_pop.aspx?backurl=http://yyy.yyy.com/product.aspx?product_id=20230002

2、没有限制URL访问预防策略

1)目标地址应限制只跳转到当前域内

2)如果需要跳转到外部链接需要有url的白名单

四、越权访问

1、越权访问示例

A用户有权限增加产品记录,B用户没有权限增加记录,A通过http://product.xxxx.com/product.aspx?user_id=201这个链接可以增加记录,把这个链接改B用户的user_id后也有增加产品的记录

2、越权访问预防策略

1)你可以用request获得之前的页面路径:Request.getHeader("Referer");然后你可以判断一下,这个是字符串类型的。

2)如果是需要登录的,你可以从session中获取登录信息,然后判断

3)你可以通过上一个页面传参,本页面判断,如果不匹配就处理,参数可以放在session当中或者使用request.setAttribute();这个方法,不要URL传参

4)jsp防止直接通过url访问是通过过滤器实现的

五、登录提示信息

1、登录提示信息示例


登录提示

2、登录提示信息预防策略

作为程序的开发人员应该做到对登录提示信息的模糊化


作者:虫子的未来
链接:https://www.jianshu.com/p/854e4c715ab8
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。
分类:专家观点 | 工作交流 | 
行业:航空航天 | 软件和信息技术服务业 | 互联网和相关服务 | 电信 | 科技 | 
联系我时,请说在行业IT网看见的,谢谢!
其他动态
头条
思科被发现使用华为代码,解释:忘了删
头条
特朗普:美国只有一种真正的货币,比特
头条
张一鸣:是谁“设计”了字节跳动?
头条
以太坊与未来公链之争:万亿市值之路
头条
河北科技大学师生到汉佳科技交流学习
头条
2019首届“数字云南”区块链国际论坛7
最新TOP10
转:上海IT民工:行业IT网让我一年内从月薪8千涨到3万
馍馍科技CEO:行业IT网,IT人士必备!
2019年中国互联网企业100强榜单揭晓:BAT领跑(附完整
腾讯音乐遭国家市场监管总局大规模反垄断调查
当年值11亿美金的Tumblr,现在被300万贱卖,只因为…
中国电信将于9月在北京推出5G新号段,老用户升级5G无
苹果不实宣传遭集体诉讼 iCloud数据存储于亚马逊谷歌
天眼查、企查查和启信宝三家混战:从“知识产权”打到
高红冰:温商的出路
阿里研究院院长高红冰:BAT时代终将过去
IT烔烔眼
加为好友 在线聊天
 我的介绍
基本信息
求学经历
工作经历
资质证书
技术能力
 我的行业
功能树
   科技
  
 我的行为
2019-07-16 09:35:36浏览
2019首届“数字云南”区块链国际论坛7月19-20日将在昆举办[动态]
2019-07-16 09:35:05浏览
2019首届“数字云南”区块链国际论坛7月19-20日将在昆举办[动态]
2019-07-16 09:34:18浏览
2019首届“数字云南”区块链国际论坛7月19-20日将在昆举办[动态]
2019-07-16 09:33:53浏览
2019首届“数字云南”区块链国际论坛7月19-20日将在昆举办[动态]
2019-07-16 09:33:50浏览
2019首届“数字云南”区块链国际论坛7月19-20日将在昆举办[动态]
2019-07-16 09:33:46浏览
2019首届“数字云南”区块链国际论坛7月19-20日将在昆举办[动态]
2019-07-16 09:27:47浏览
2019首届“数字云南”区块链国际论坛7月19-20日将在昆举办[动态]
2019-07-16 09:27:26浏览
2019首届“数字云南”区块链国际论坛7月19-20日将在昆举办[动态]
2019-07-16 09:27:24浏览
2019首届“数字云南”区块链国际论坛7月19-20日将在昆举办[动态]
2019-07-16 09:25:54浏览
2019首届“数字云南”区块链国际论坛7月19-20日将在昆举办[动态]
公司简介 法律申明 创始团队 人才招聘 投资洽谈 联系方式 帮助中心 通知公告
行业IT网 版权所有  ICP:京ICP备17008249号-1
地址:北京市海淀区建材城东路26号二十一世纪大厦C座216 电话:86-10-56288154 邮箱:sales@itmomo.com 联系人:荆经理
本站信息多为网友或机器算法获取发布,如有侵犯您的权益,请及时联系我们