常见的安全性问题简单介绍
SQL注入问题
SQL注入的发生,通常是恶意用户通过在表单中填写包含SQL关键字的数据,来使数据库执行非常规逻辑的过程。简单来说,就是数据库越界做了超出代码控制范围的事情。这个问题的来源是,SQL数据库的操作是通过SQL语句来执行的,而无论是执行代码还是数据项都必须写在SQL语句之中,这就导致如果我们在数据项中加入了某些SQL语句关键字(比如说SELECT、DROP等等),这些关键字就很可能在数据库写入或读取数据时得到执行。
SQL注入示例
例:基于1 = 1 总为真
在下图中,模拟一次简单的用户登录过程。
在正常情况下输入的密码为 password
在使用SQL注入时 输入的密码为 "1" or "1" = "1"
那么当我们未对参数做任何校验时,直接将其拼接为SQL语句
最终得到的SQL语句为 select * from user where userName ="1" and passWord = "1" or "1" = "1"
此时,你去执行这句SQL语句本应该是失败的,却因为误判,返回了成功的指令。
SQL注入应对方法
使用正则表达式过滤传入的参数
正则表达式:例如下列表达式,过滤掉有or和and的参数
private String CHECKSQL = “^(.+)\sand\s(.+)|(.+)\sor(.+)\s$”;
利用ORM框架防止SQL注入
与传统的ORM框架不同,例MyBatis使用XML描述符将对象映射到SQL语句或者存储过程中,这种机制可以让我们更大的灵活度通过SQL来操作数据库对象,因此,我们必须小心这种便利下SQL注入的可能性。
这是MyBatis推荐的一种用法,注意参数符号#{id},使用#{}语法,MyBatis会通过预编译机制生成PreparedStatement参数,然后在安全的给参数进行赋值操作,因此就避免了SQL注入:例如下图所示
字符串过滤
比较简单的一个方法,过滤掉所有的SQL参数,和正则表达式的效果一致
CSRF
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。OWASP Top 10 2010排A5,OWASP Top 10 2013排A8。
CSRF的危害
攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全
CSRF的原理
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
- 登录受信任网站A,并在本地生成Cookie。
- 在不登出A的情况下,访问危险网站B。
看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。是的,确实如此,但你不能保证以下情况不会发生: - 你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站。
- 你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了……)
- 上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站
CSRF应对方法
加验证码
验证码,强制用户必须与应用进行交互,才能完成最终请求。在通常情况下,验证码能很好遏制CSRF攻击。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。
Referer Check
Referer Check在Web最常见的应用就是“防止图片盗链”。同理,Referer Check也可以被用于检查请求是否来自合法的“源”(Referer值是否是指定页面,或者网站的域),如果都不是,那么就极可能是CSRF攻击。
但是因为服务器并不是什么时候都能取到Referer,所以也无法作为CSRF防御的主要手段。但是用Referer Check来监控CSRF攻击的发生,倒是一种可行的方法。
增加Token校验
这个Token的值必须是随机的,不可预测的。由于Token的存在,攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。另外使用Token时应注意Token的保密性,尽量把敏感操作由GET改为POST,以form或AJAX形式提交,避免Token泄露。
XSS攻击
XSS(Cross Site Scripting)攻击全称跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
通俗的来说就是我们的页面在加载并且渲染绘制的过程中,如果加载并执行了意料之外的程序或代码(脚本、样式),就可以认为是受到了 XSS攻击。
XSS分类
反射型:
也叫非持久型XSS,交互数据一般不会被存在数据库里面,一次性,所见即所得。一般XSS代码出现在请求URL中,作为参数提交到服务器,服务器解析并响应,响应结果中包含XSS代码,最后浏览器解析并执行。
场景:
- 用户A给用户B发送一个恶意构造了Web的URL
- 用户B点击并查看了这个URL
- 用户B获取到一个具有漏洞的HTML页面并显示在本地浏览器中
- 漏洞HTML页面执行恶意JavaScript脚本,将用户B信息盗取发送给用户A,或者篡改用户B看到的数据等
存储型:
也叫持久型XSS,主要将XSS代码提交存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。当目标用户访问该页面获取数据时,XSS代码会从服务器解析之后加载出来,返回到浏览器做正常的HTML和JS解析执行,XSS攻击就发生了。
场景:
- 用户A在网页上创建了某个账户,并且账户信息中包含XSS代码。
- 用户B访问该网站查看XSS代码账户详情页面。
- 服务端返回账户详情页面,和带XSS账户信息。
- 用户B浏览器执行XSS代码,将用户B信息盗取发送给用户A,或者篡改用户B看到的数据等。
XSS示例
借助于http://xss.fbisb.com/网站进行例子模拟
图中例子说明
首先此题目意思是希望通过XSS攻击,将页面调整第二道题目
- 如图:url:http://xss.fbisb.com/yx/level1.php?name=qweqweqw,界面上显示欢迎用户qweqweqw
既,正常情况下name传参是什么,界面上显示的名字即为什么 - 查看页面源代码,发现页面上有一段script脚本,即执行script中的方法,就可以进入第二道题目
- 脚本编写:name=
- 此时url为 http://xss.fbisb.com/yx/level1.php?name=
- 回车后,完成一次简单的XSS攻击,此时url界面进行调整,并执行了alert()脚本
XSS防御
使用innerHTML(原生)、v-html(vue)、dangerouslySetInnerHTML(react)等直接渲染html的函数渲染请求数据时,需要先把字符串转义:
例如:
- 把 > 替换成 >
- 把 < 替换成 <
- 把 & 替换成 &
这样做浏览器是不会对该标签进行解释执行的,同时也不影响显示效果。
字符过滤:
1)过滤掉特殊的HTML标签,例如
