2020国产成人精品视频,性做久久久久久久久,亚洲国产成人久久综合一区,亚洲影院天堂中文av色

分享

解決跨站腳本注入,跨站偽造用戶請求,sql注入等http安全漏洞

 三十的狼 2019-08-30

跨站腳本就是在url上帶上惡意的js關鍵字然后腳本注入了,跨站偽造用戶請求就是沒有經(jīng)過登陸,用超鏈接或者直接url上敲地址進入系統(tǒng),類似于sql注入這些都是安全漏洞。


  • sql注入

1、參數(shù)化查詢預處理,如java使用PreparedStatement()處理變量。
2、轉(zhuǎn)義敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”><=!-*/()|”,和”空格”)。
3、屏蔽出錯信息:阻止攻擊者知道攻擊的結果。
4、在服務端正式處理之前對提交數(shù)據(jù)的合法性(合法性檢查主要包括三項:數(shù)據(jù)類型,數(shù)據(jù)長度,敏感字符的校驗)進行檢查等,在確認客戶端的輸入合法之前,服務端拒絕進行關鍵性的處理操作。


  • 跨站腳本

一般性建議:轉(zhuǎn)義或過濾客戶端提交的危險字符,客戶端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等,其中危險字符如下:
建議轉(zhuǎn)義或過濾以下字符:
[1] |(豎線符號)
[2] & (& 符號)
[3];(分號)
[4] $(美元符號)
[5] %(百分比符號)
[6] @(at 符號)
[7] '(單引號)
[8] ""(引號)
[9] \'(反斜杠轉(zhuǎn)義單引號)
[10] \""(反斜杠轉(zhuǎn)義引號)
[11] <>(尖括號)
[12] ()(括號)
[13] +(加號)
[14] CR(回車符,ASCII 0x0d)
[15] LF(換行,ASCII 0x0a)
[16] ,(逗號)
[17] \(反斜杠)
[18]  (空格)
[19] . (點號)
過濾以下關鍵字、標簽:alert、img、script、document、document.title、document.write、eval、prompt、onclick、onerror、onmouseenter、onreadystatechange、confirm、javascript、String.fromCharCode、onload、DYNSRC、LOWSRC、behavior、vbscript、msgbox、mocha、livescript、。

開發(fā)語言的建議:
[1]嚴格控制輸入:
    Asp:request
    Aspx:Request.QueryString、Form、Cookies、SeverVaiables等
    Php:$_GET、$_POST、$_COOKIE、$_SERVER、$_GlOBAL、$_REQUEST等
    Jsp:request.getParameter、request.getCookies 等
    客戶端提交的變量一般從以上函數(shù)獲得,嚴格限制提交的數(shù)據(jù)長度、類型、字符集。

[2]嚴格控制輸出:
    HtmlEncode:對一段指定的字符串應用HTML編碼。
    UrlEncode:對一段指定的字符串URL編碼。
    XmlEncode:將在XML中使用的輸入字符串編碼。
    XmlAttributeEncode:將在XML屬性中使用的輸入字符串編碼 
    escape:函數(shù)可對字符串進行編碼
    decodeURIComponent:返回統(tǒng)一資源標識符的一個已編碼組件的非編碼形式。
    encodeURI:將文本字符串編碼為一個有效的統(tǒng)一資源標識符 (URI)。" "get型xss:

  • 跨站請求偽造

方案一、存在漏洞的頁面加驗證碼或手機短信驗證 
方案二、檢測HTTP請求中的訪問來源是否可信,對http頭中的referer進行過濾,只允許本域站點 
方案三、一次性令牌Token 
添加一個參數(shù)Token,其值是隨機的。這樣攻擊者因為不知道Token而無法構造出合法的請求進行攻擊。實現(xiàn)方法:首先服務器端要以某種策略生成隨機字符串,作為令牌(token),保存在 Session 里。然后在發(fā)出請求的頁面,把該令牌以隱藏域一類的形式,與其他信息一并發(fā)出。在接收請求的頁面,把接收到的信息中的令牌與 Session 中的令牌比較,只有一致的時候才處理請求,否則拒絕請求或者要求用戶重新登陸驗證身份。 
Token 使用原則: 
Token要足夠隨機————只有這樣才算不可預測 
Token是一次性的,即每次請求成功后要更新Token————這樣可以增加攻擊難度,增加預測難度 
Token要注意保密性————敏感操作使用post,防止Token出現(xiàn)在URL中 
方案四、臨時cookie:對會話進行時效限制,將持久化的授權方法(例如cookie或者HTTP授權)切換為短時或瞬時的授權方法 
方案五、session標記隨機生成;確認已有的session標記無法被二次使用 
方案六、過濾用戶輸入,例如論壇、博客等,不允許發(fā)布含有站內(nèi)操作URL的鏈接(作用有限,因為可以通過qq、第三方網(wǎng)站進行發(fā)布,圖片形式會自動加載等) 
方案七、根據(jù)不可預測性原則,我們可以對參數(shù)進行加密從而防止CSRF攻擊。"
已解密的登錄請求 對諸如用戶名、密碼和信用卡號之類的敏感輸入字段進行加密傳遞
會話定置 "COOKIE中的登陸前JSESSIONID與登陸后JESSIONID不能相同
例如在登錄頁面上加上一段代碼:

request.getSession().invalidate() ;         //清空session
if (request.getCookies()!=null) {
   Cookie cookie = request.getCookies()[0];     // 獲取cookie
   cookie.setMaxAge(0);                    // 讓cookie過期
}"	

  • 文件上傳

[1]嚴格判斷上傳文件的類型,設置上傳文件白名單,只允許上傳指定類型的文件。
[2]禁止在上傳目錄下執(zhí)行腳本。
[3]上傳文件的目錄必須是http請求無法直接訪問到的。如果需要訪問的,必須上傳到其他(和web服務器不同的)域名下,并設置該目錄為不解析jsp等腳本語言的目錄。
[4]上傳文件要保存的文件名和目錄名由系統(tǒng)根據(jù)時間生成,不允許用戶自定義。
[5]圖片上傳,要通過處理(縮略圖、水印等),無異常后才能保存到服務器。"

  • jQuery跨站腳本

"升級Jquery到1.7版本以上,或在js中修改如下行,quickExpr = /^(?:[^<]*(<[\w\W]+>)[^>]*$|#([\w\-]+)$)/
修改為:quickExpr = /^(?:[^#<]*(<[\w\W]+>)[^>]*$|#([\w\-]*)$)/"


  • 啟用了不安全的HTTP方法

修改web.xml,增加如下配置

<login-config>
       <!-- Authorization setting for SSL -->
       <auth-method>CLIENT-CERT</auth-method>
       <realm-name>Client Cert Users-only Area</realm-name>
  <auth-method>BASIC</auth-method>
   </login-config>
   <security-constraint>
       <!-- Authorization setting for SSL -->
  <web-resource-collection>
   <web-resource-name>SSL</web-resource-name>
   <url-pattern>/oa/login.jsp</url-pattern>
       </web-resource-collection>
       
       <user-data-constraint>
           <transport-guarantee>CONFIDENTIAL</transport-guarantee>
       </user-data-constraint>
   </security-constraint>


 <!-- 禁止不安全的http方法 -->
 <security-constraint>
  <web-resource-collection>
        <web-resource-name>fortune</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>HEAD</http-method>
        <http-method>OPTIONS</http-method>
        <http-method>TRACE</http-method>
  </web-resource-collection>
  <auth-constraint></auth-constraint>
 </security-constraint> 


  • 登錄錯誤消息憑證枚舉

對每個錯誤的登錄嘗試發(fā)出相同的錯誤消息,不管是哪個字段發(fā)生錯誤,特別是用戶名或密碼字段錯誤。
文件備份 "刪除備份文件。
.arc/.bac/.backup/.bak/.bck/.copy/.old/.orig/.sav/.save/.saved/.swp/.temp/.test/.tmp/.txt"。


以下是我自己寫的一份攔截器,里面可以實現(xiàn)對http請求的參數(shù)攔截,解決跨站腳本注入:

package com.asiainfo.aiga.common.filter;

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;

public class XSSCheckFilter implements Filter
{
	private FilterConfig config;
	private static String errorPath;//出錯跳轉(zhuǎn)的目的地
	private static String[] excludePaths;//不進行攔截的url
	private static String[] safeless = { "<script", //需要攔截的JS字符關鍵字
	"</script", "<iframe", "</iframe", "<frame", "</frame", "set-cookie", "%3cscript", "%3c/script", "%3ciframe", "%3c/iframe", "%3cframe", "%3c/frame", "src=\"javascript:", "<body", "</body", "%3cbody", "%3c/body", "alert", "script", "document", "document.title", "document.write", "eval", "prompt", "onreadystatechange", "javascript", "msgbox"
	//"<",
	//">",
	//"</",
	//"/>",
	//"%3c",
	//"%3e",
	//"%3c/",
	//"/%3e"
	};

	public void doFilter(ServletRequest req, ServletResponse resp, FilterChain filterChain) throws IOException, ServletException
	{
		Enumeration params = req.getParameterNames();
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) resp;

		boolean isSafe = true;
		String requestUrl = request.getRequestURI();
		if (isSafe(requestUrl))
		{
			requestUrl = requestUrl.substring(requestUrl.indexOf("/"));
			if (!excludeUrl(requestUrl))
			{
				while (params.hasMoreElements())
				{
					String cache = req.getParameter((String) params.nextElement());
					if (StringUtils.isNotBlank(cache))
					{
						if (!isSafe(cache))
						{
							isSafe = false;
							break;
						}
					}
				}
			}
		}
		else
		{
			isSafe = false;
		}
		if (!isSafe)
		{
			request.setAttribute("msg", "There is some illegal characters in paramters.");
			request.getRequestDispatcher(errorPath).forward(request, response);
			return;
		}
		else
		{
			String referer = request.getHeader("referer");
			if (!("/index.jsp".equals(request.getServletPath()) || "/refresh.jsp".equals(request.getServletPath())))
			{
				if(request.getServletPath()!=null&&request.getServletPath().endsWith(".action")){
					
				}else if (referer == null || !referer.contains(request.getServerName()))
				{
					System.out.println("跨站請求偽造");
					//轉(zhuǎn)到一個錯誤的圖片
				    request.getRequestDispatcher(errorPath).forward(request, response);
				}
			}
		}
		filterChain.doFilter(req, resp);
	}

	private static boolean isSafe(String str)
	{
		if (StringUtils.isNotBlank(str))
		{
			for (String s : safeless)
			{
				String[] strs = str.split("/");
				for (String urlStr : strs)
				{
					if (s.equals(urlStr.toLowerCase()))
					{
						return false;
					}
				}
			}
		}
		return true;
	}

	private boolean excludeUrl(String url)
	{
		if (excludePaths != null && excludePaths.length > 0)
		{
			for (String path : excludePaths)
			{
				if (url.toLowerCase().equals(path))
				{
					return true;
				}
			}
		}
		return false;
	}

	public void destroy()
	{
	}

	public void init(FilterConfig config) throws ServletException
	{
		this.config = config;
		errorPath = config.getInitParameter("errorPath");
		String excludePath = config.getInitParameter("excludePaths");
		if (StringUtils.isNotBlank(excludePath))
		{
			excludePaths = excludePath.split(",");
		}
	}
}


    本站是提供個人知識管理的網(wǎng)絡存儲空間,所有內(nèi)容均由用戶發(fā)布,不代表本站觀點。請注意甄別內(nèi)容中的聯(lián)系方式、誘導購買等信息,謹防詐騙。如發(fā)現(xiàn)有害或侵權內(nèi)容,請點擊一鍵舉報。
    轉(zhuǎn)藏 分享 獻花(0

    0條評論

    發(fā)表

    請遵守用戶 評論公約

    類似文章 更多