java服務(wù)接口怎么避免xss注入攻擊
過濾特定符號
廣漢網(wǎng)站制作公司哪家好����,找創(chuàng)新互聯(lián)����!從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)���、微信開發(fā)����、APP開發(fā)���、響應(yīng)式網(wǎng)站設(shè)計(jì)等網(wǎng)站項(xiàng)目制作���,到程序開發(fā),運(yùn)營維護(hù)�����。創(chuàng)新互聯(lián)從2013年創(chuàng)立到現(xiàn)在10年的時(shí)間��,我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)�����,來保證我們的工作的順利進(jìn)行����。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。
public?static?String?guolv(String?a)?{
a?=?a.replaceAll("%22",?"");
a?=?a.replaceAll("%27",?"");
a?=?a.replaceAll("%3E",?"");
a?=?a.replaceAll("%3e",?"");
a?=?a.replaceAll("%3C",?"");
a?=?a.replaceAll("%3c",?"");
a?=?a.replaceAll("",?"");
a?=?a.replaceAll("",?"");
a?=?a.replaceAll("\"",?"");
a?=?a.replaceAll("'",?"");
a?=?a.replaceAll("\\+",?"");
a?=?a.replaceAll("\\(",?"");
a?=?a.replaceAll("\\)",?"");
a?=?a.replaceAll("?and?",?"");
a?=?a.replaceAll("?or?",?"");
a?=?a.replaceAll("?1=1?",?"");
return?a;
}
web前端怎么防止代碼注入攻擊
一��,HTML防注入���。
一般的html注入都是在字符串中加入了html標(biāo)簽�,用下JAVA代碼可以去掉這部分代碼����。
代碼如下��,自己封裝成方法即可���。
String msge = "asdasdasdasd div id=\"f\"asdfsdf";
System.out.println(msge);
msge = msge.replace("", "");
msge = msge.replace("", "");
msge = msge.replace(" ", " ");
msge = msge.replace("", "");
msge = msge.replace("\"", """);
msge = msge.replace("'", "qpos;");
System.out.println(msge);
二、防SQL注入
最簡單最容易的是限制用戶輸入���。
簡單點(diǎn)的就是不允許用戶輸入單引號 和 --��,因?yàn)閱我柼?-在SQL中都是影響執(zhí)行的����。
但SQL注入是多方面的�,防止的方法也有很多種。
1���、地址欄禁止特殊字符防SQL注入
把特殊字符(如and���、or、'�、")都禁止提交就可以防止注入了。
2�、php過濾html字符串,防止SQL注入
批量過濾post,get敏感數(shù)據(jù)
$_GET = stripslashes_array($_GET);
$_POST = stripslashes_array($_POST);
數(shù)據(jù)過濾函數(shù)
function stripslashes_array($array) {
while(list($key,$var) = each($array)) {
if ($key != 'argc' $key != 'argv' (strtoupper($key) != $key || ''.intval($key) == "$key")) {
if (is_string($var)) {
$array[$key] = stripslashes($var);
}
if (is_array($var)) {
$array[$key] = stripslashes_array($var);
}
}
}
return $array;
}
3、替換HTML尾標(biāo)簽
function lib_replace_end_tag($str)
{
if (empty($str)) return false;
$str = htmlspecialchars($str);
$str = str_replace( '/', "", $str);
$str = str_replace("\\", "", $str);
$str = str_replace("", "", $str);
$str = str_replace("", "", $str);
$str = str_replace("SCRIPT", "", $str);
$str = str_replace("/SCRIPT", "", $str);
$str = str_replace("script", "", $str);
$str = str_replace("/script", "", $str);
$str=str_replace("select","select",$str);
$str=str_replace("join","join",$str);
$str=str_replace("union","union",$str);
$str=str_replace("where","where",$str);
$str=str_replace("insert","insert",$str);
$str=str_replace("delete","delete",$str);
$str=str_replace("update","update",$str);
$str=str_replace("like","like",$str);
$str=str_replace("drop","drop",$str);
$str=str_replace("create","create",$str);
$str=str_replace("modify","modify",$str);
$str=str_replace("rename","rename",$str);
$str=str_replace("alter","alter",$str);
$str=str_replace("cas","cast",$str);
$str=str_replace("","",$str);
$str=str_replace("","",$str);
$str=str_replace("","",$str);
$str=str_replace(" ",chr(32),$str);
$str=str_replace(" ",chr(9),$str);
$str=str_replace(" ",chr(9),$str);
$str=str_replace("",chr(34),$str);
$str=str_replace("'",chr(39),$str);
$str=str_replace("br /",chr(13),$str);
$str=str_replace("''","'",$str);
$str=str_replace("css","'",$str);
$str=str_replace("CSS","'",$str);
return $str;
}
三���、專業(yè)的事情交給專業(yè)的工具去做。
安裝安全軟件���。例如�����,在服務(wù)器中安裝“服務(wù)器安全狗”�,可以設(shè)置防注入����,防攻擊的設(shè)置,只要設(shè)置好安全規(guī)則�����,就可以屏蔽大多數(shù)攻擊入侵�����。
java正則表達(dá)式怎么防止代碼漏洞
javaWeb安全漏洞及處理方式
關(guān)注
轉(zhuǎn)載自:
1����、SQL注入攻擊
SQL注入攻擊就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串���,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說����,它是利用現(xiàn)有應(yīng)用程序,將(惡意)的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力����,它可以通過在Web表單中輸入(惡意)SQL語句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫,而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語句��。
隨著B/S框架結(jié)構(gòu)在系統(tǒng)開發(fā)中的廣泛應(yīng)用�,惡意攻擊者利用SQL命令在Web表單中輸入合法的字符或查詢字符串來欺騙服務(wù)器執(zhí)行SQL命令。當(dāng)注入攻擊得逞后�,Web程序?qū)⑿孤洞罅坑脩綦[私數(shù)據(jù)和數(shù)據(jù)庫中數(shù)據(jù)結(jié)構(gòu)。攻擊者能夠獲得系統(tǒng)較高的訪問權(quán)限����,進(jìn)行破壞操作。
SQL注入可以分為平臺層注入和代碼層注入��。前者由不安全的數(shù)據(jù)庫配置或數(shù)據(jù)庫平臺的漏洞所致;后者主要是由于程序員對輸入未進(jìn)行細(xì)致地過濾����,從而執(zhí)行了非法的數(shù)據(jù)查詢���。基于此��,SQL注入的產(chǎn)生原因通常表現(xiàn)在以下幾方面:
1)不當(dāng)?shù)念愋吞幚?
2)不安全的數(shù)據(jù)庫配置;
3)不合理的查詢集處理;
4)不當(dāng)?shù)腻e(cuò)誤處理;
5)轉(zhuǎn)義字符處理不合適;
6) 多個(gè)提交處理不當(dāng)���。
解決方法:
數(shù)據(jù)庫安全通信包括SQL注入攻擊的防范、安全設(shè)置���、異常信息處理三個(gè)方面��。
1.服務(wù)端Filter對訪問者輸入的字符進(jìn)行過濾檢驗(yàn)��,但是攻擊者經(jīng)常把危險(xiǎn)字符潛藏在用戶輸入的有效字符中完 成過濾檢驗(yàn)���。
2.通過正則表達(dá)式對頁面的文本框輸入的數(shù)據(jù)進(jìn)行限制可以減少過濾檢驗(yàn)存在的漏洞。
3.使用prepareStatment預(yù)編譯sql語句
2�、XSS跨站腳本攻擊
跨站腳本(Cross-site scripting,簡稱XSS)���,是一種迫使Web站點(diǎn)回顯可執(zhí)行代碼的攻擊技術(shù)�����,而這些可執(zhí)行代碼由攻擊者提供����、最終為用戶瀏覽器加載。不同于大多數(shù)攻擊(一般只涉及攻擊者和受害者)���,XSS涉及到三方�����,即攻擊者�����、客戶端與網(wǎng)站���。XSS的攻擊目標(biāo)是為了盜取客戶端的cookie或者其他網(wǎng)站用于識別客戶端身份的敏感信息。獲取到合法用戶的信息后����,攻擊者甚至可以假冒最終用戶與網(wǎng)站進(jìn)行交互。
XSS 屬于被動(dòng)式的攻擊��。攻擊者先構(gòu)造一個(gè)跨站頁面,利用SCRIPT�、IMG、IFRAME等各種方式使得用戶瀏覽這個(gè)頁面時(shí)�,觸發(fā)對被攻擊站點(diǎn)的HTTP 請求。此時(shí)�����,如果被攻擊者如果已經(jīng)在被攻擊站點(diǎn)登錄�,就會持有該站點(diǎn)cookie。這樣該站點(diǎn)會認(rèn)為被攻擊者發(fā)起了一個(gè)HTTP請求����。而實(shí)際上這個(gè)請求是在被攻擊者不知情情況下發(fā)起的����,由此攻擊者在一定程度上達(dá)到了冒充被攻擊者的目的。精心的構(gòu)造這個(gè)攻擊請求�����,可以達(dá)到冒充發(fā)文�,奪取權(quán)限等多個(gè)攻擊目的。在常見的攻擊實(shí)例中�����,這個(gè)請求是通過script 來發(fā)起的,因此被稱為Cross Site Script����。
XSS漏洞成因是由于動(dòng)態(tài)網(wǎng)頁的Web應(yīng)用對用戶提交請求參數(shù)未做充分的檢查過濾,允許用戶在提交的數(shù)據(jù)中摻入HTML代碼(最主要的是“”���、“”)��,然后未加編碼地輸出到第三方用戶的瀏覽器�����,這些攻擊者惡意提交代碼會被受害用戶的瀏覽器解釋執(zhí)行�。
分為三種類型:
1)反射型(數(shù)據(jù)流向:瀏覽器 -后端 - 瀏覽器)
反射型XSS腳本攻擊即如我們上面所提到的XSS跨站腳本攻擊方式���,該類型只是簡單地將用戶輸入的數(shù)據(jù)直接或未經(jīng)過完善的安全過濾就在瀏覽器中進(jìn)行輸出�,導(dǎo)致輸出的數(shù)據(jù)中存在可被瀏覽器執(zhí)行的代碼數(shù)據(jù)�。由于此種類型的跨站代碼存在于URL中,所以黑客通常需要通過誘騙或加密變形等方式�����,將存在惡意代碼的鏈接發(fā)給用戶,只有用戶點(diǎn)擊以后才能使得攻擊成功實(shí)施��。
2)存儲型(數(shù)據(jù)流向是:瀏覽器 -后端 - 數(shù)據(jù)庫 - 后端- 瀏覽器)
存儲型XSS腳本攻擊是指Web應(yīng)用程序會將用戶輸入的數(shù)據(jù)信息保存在服務(wù)端的數(shù)據(jù)庫或其他文件形式中��,網(wǎng)頁進(jìn)行數(shù)據(jù)查詢展示時(shí)�����,會從數(shù)據(jù)庫中獲取數(shù)據(jù)內(nèi)容��,并將數(shù)據(jù)內(nèi)容在網(wǎng)頁中進(jìn)行輸出展示��,因此存儲型XSS具有較強(qiáng)的穩(wěn)定性���。
存儲型XSS腳本攻擊最為常見的場景就是在博客或新聞發(fā)布系統(tǒng)中,黑客將包含有惡意代碼的數(shù)據(jù)信息直接寫入文章或文章評論中���,所有瀏覽文章或評論的用戶�,都會在他們客戶端瀏覽器環(huán)境中執(zhí)行插入的惡意代碼����。
3)基于DOM(數(shù)據(jù)流向是:URL--瀏覽器 )
基于DOM的XSS跨站腳本攻擊是通過修改頁面DOM節(jié)點(diǎn)數(shù)據(jù)信息而形成的XSS跨站腳本攻擊。不同于反射型XSS和存儲型XSS�����,基于DOM的XSS跨站腳本攻擊往往需要針對具體的javascript DOM代碼進(jìn)行分析,并根據(jù)實(shí)際情況進(jìn)行XSS跨站腳本攻擊的利用��。
解決方法:
1).輸入過濾�。對用戶的所有輸入數(shù)據(jù)進(jìn)行檢測,比如過濾其中的“”�、“”、“/”等可能導(dǎo)致腳本注入的特殊字符�,或者過濾“script”、“javascript”等腳本關(guān)鍵字�����,或者對輸入數(shù)據(jù)的長度進(jìn)行限制等等���。同時(shí)���,我們也要考慮用戶可能繞開ASCII碼,使用十六進(jìn)制編碼來輸入腳本�。因此,對用戶輸入的十六進(jìn)制編碼�����,我們也要進(jìn)行相應(yīng)的過濾。只要能夠嚴(yán)格檢測每一處交互點(diǎn)����,保證對所有用戶可能的輸入都進(jìn)行檢測和XSS過濾,就能夠有效地阻止XSS攻擊��。
2).輸出編碼���。通過前面對XSS攻擊的分析����,我們可以看到�����,之所以會產(chǎn)生XSS攻擊�����,就是因?yàn)閃eb應(yīng)用程序?qū)⒂脩舻妮斎胫苯忧度氲侥硞€(gè)頁面當(dāng)中���,作為該頁面的HTML代碼的一部分。因此���,當(dāng)Web應(yīng)用程序?qū)⒂脩舻妮斎霐?shù)據(jù)輸出到目標(biāo)頁面中時(shí)�����,只要用HtmlEncoder等工具先對這些數(shù)據(jù)進(jìn)行編碼����,然后再輸出到目標(biāo)頁面中。這樣�����,如果用戶輸入一些HTML的腳本����,也會被當(dāng)成普通的文字,而不會成為目標(biāo)頁面HTML代碼的一部分得到執(zhí)行.
3��、CSRF跨站請求偽造漏洞防護(hù)
CSRF是CrossSite Request Forgery的縮寫��,乍一看和XSS差不多的樣子�����,但是其原理正好相反,XSS是利用合法用戶獲取其信息�����,而CSRF是偽造成合法用戶發(fā)起請求��。
字面理解意思就是在別的站點(diǎn)偽造了一個(gè)請求�����。專業(yè)術(shù)語來說就是在受害者訪問一個(gè)網(wǎng)站時(shí)��,其 Cookie 還沒有過期的情況下���,攻擊者偽造一個(gè)鏈接地址發(fā)送受害者并欺騙讓其點(diǎn)擊��,從而形成 CSRF 攻擊��。
根據(jù)HTTP協(xié)議����,在HTTP頭中有一個(gè)字段叫Referer����,它記錄了該HTTP請求的來源地址。在通常情況下��,訪問一個(gè)安全受限頁面的請求必須來自于同一個(gè)網(wǎng)站���。
解決方案:
配置FILTER攔截用戶所有請求(POST/GET)����,對用戶請求Referer頭URL進(jìn)行合法性校驗(yàn)����。
4、URL鏈接注入漏洞防護(hù)
鏈接注入是修改站點(diǎn)內(nèi)容的行為��,其方式為將外部站點(diǎn)的 URL 嵌入其中����,或?qū)⒂幸资芄舻恼军c(diǎn)中的腳本 的 URL 嵌入其中。將URL 嵌入易受攻擊的站點(diǎn)中���,攻擊者便能夠以它為平臺來啟動(dòng)對其他站點(diǎn)的攻擊�,以及攻擊這個(gè)易受攻擊的站點(diǎn)本身�����。
解決方案:
1,二次驗(yàn)證����,進(jìn)行重要敏感操作時(shí),要求用戶進(jìn)行二次驗(yàn)證�。
2,驗(yàn)證碼����,進(jìn)行重要敏感操作時(shí),加入驗(yàn)證碼�����。
3�,驗(yàn)證 HTTP 的 Referer 字段。
4���,請求地址中添加 Token 并驗(yàn)證���。
5,HTTP 頭中自定義屬性并驗(yàn)證��。
5�、會話COOKIE中缺少HttpOnly防護(hù)
會話cookie中缺少HttpOnly屬性會導(dǎo)致攻擊者可以通過程序(JS腳本�、Applet等)獲取到用戶的cookie信息�����,造成用戶cookie信息泄露��,增加攻擊者的跨站腳本攻擊威脅��。
HttpOnly是微軟對cookie做的擴(kuò)展����,該值指定cookie是否可通過客戶端腳本訪問���。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie屬性HttpOnly���。
如果在Cookie中沒有設(shè)置HttpOnly屬性為true,可能導(dǎo)致Cookie被竊取�。竊取的Cookie可以包含標(biāo)識站點(diǎn)用戶的敏感信息。
如果在Cookie中設(shè)置HttpOnly屬性為true�,兼容瀏覽器接收到HttpOnly cookie,那么客戶端通過程序(JS腳本���、Applet等)將無法讀取到Cookie信息��,這將有助于緩解跨站點(diǎn)腳本威脅����。
解決方案:
配置filter攔截器,將服務(wù)器端返回請求�,向所有會話cookie中添加“HttpOnly”屬性。
示例代碼:
HttpServletResponseresponse=(HttpServletResponse)paramServletResponse;
response.setHeader("SET-COOKIE","JSESSIONID=" + sessionid + "; HttpOnly");
6��、點(diǎn)擊劫持漏洞(Clickjacking)防護(hù)
點(diǎn)擊劫持是一種視覺上的欺騙手段�,攻擊者使用一個(gè)透明的、不可見的iframe����,覆蓋在一個(gè)網(wǎng)頁上,然后誘使用戶在該網(wǎng)頁上進(jìn)行操作���,此時(shí)用戶在不知情的情況下點(diǎn)擊了透明的iframe頁面�����。通過調(diào)整iframe頁面的位置�����,可以誘使用戶恰好點(diǎn)擊在iframe頁面的一些功能性按鈕上��。
解決方案:
配置FILTER攔截器����,在服務(wù)器端返回請求中,使用一個(gè)HTTP頭“X-Frame-Options”值為SAMEORIGIN-同源策略 ��,則frame頁面的地址只能為同源域名下面的頁面�,防止點(diǎn)擊劫持漏洞發(fā)生��。
示例代碼:
HttpServletResponseresponse=(HttpServletResponse)paramServletResponse;
response.addHeader("x-frame-options","SAMEORIGIN");
7�、HTTP host 頭攻擊漏洞
使用HTTP代理工具,可以篡改HTTP報(bào)文頭部中HOST字段時(shí)����,該值可被注入惡意代碼。因?yàn)樾枰刂瓶蛻舳说妮斎?���,故該漏洞較難利用。
解決方案:
配置FILTER攔截器��,對請求輸入HOST頭信息進(jìn)行信息安全性校驗(yàn)�����,防止HOST頭信息被惡意篡改利用。
示例代碼:
HttpServletRequest request =(HttpServletRequest)servletRequest;
//主機(jī)ip和端口 或 域名和端口
String myhosts = request.getHeader("host");
if(!StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx")
!StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx")
!StringUtils.equals(myhosts,"xx.xx.xxx.xxx:xxxx")StringUtils.equals(myhosts,"xx.xx.xxx.xxx")
!StringUtils.equals(myhosts,"xx.xx.xxx.xxx") !StringUtils.equals(myhosts,"xx.xx.xxx.xxx" ){
logger.error("======訪問host非法��,已攔截======");
response.sendRedirect(request.getContextPath() + "/login.jsp");
return;
}
8�����、越權(quán)訪問漏洞防護(hù)
越權(quán)訪問(Broken Access Control�����,簡稱BAC)是Web應(yīng)用程序中一種常見的漏洞����,分為垂直越權(quán)訪問和水平越權(quán)訪問。垂直越權(quán)是指不同用戶級別之間的越權(quán)����,如普通用戶執(zhí)行管理員用戶的權(quán)限。水平越權(quán)是指相同級別用戶之間的越權(quán)操作�。
Web應(yīng)用程序如果存在越權(quán)訪問漏洞,可能導(dǎo)致以下危害:
1)導(dǎo)致任意用戶敏感信息泄露��;
2)導(dǎo)致任意用戶信息被惡意修改或刪除��。
解決方案:
配置FILTER攔截器,對請求所有URL進(jìn)行攔截�����,對于需要進(jìn)行授權(quán)的URL進(jìn)行權(quán)限校驗(yàn)�����,防止用戶越權(quán)訪問系統(tǒng)資源�����。
9.弱口令漏洞
解決方案:最好使用至少6位的數(shù)字���、字母及特殊字符組合作為密碼。數(shù)據(jù)庫不要存儲明文密碼��,應(yīng)存儲MD5加密后的密文����,由于目前普通的MD5加密已經(jīng)可以被破解,最好可以多重MD5加密��,或者多種加密方式疊加組合�。
10.JSP頁面拋出的異常可能暴露程序信息。
有經(jīng)驗(yàn)的入侵者����,可以從JSP程序的異常中獲取很多信息,比如程序的部分架構(gòu)���、程序的物理路徑���、SQL注入爆出來的信息等。
解決方案:自定義一個(gè)Exception����,將異常信息包裝起來不要拋到頁面上。
11.本地緩存漏洞
合法用戶“注銷”后���,在未關(guān)閉瀏覽器的情況下��,點(diǎn)擊瀏覽器“后退”按鈕��,可從本地頁面緩存中讀取數(shù)據(jù)�,繞過了服務(wù)端filter過濾���。
解決方案:配置filter對存放敏感信息的頁面限制頁面緩存�。如:
httpResponse.setHeader("Cache-Control","no-cache");
httpResponse.setHeader("Cache-Control","no-store");
httpResponse.setDateHeader("Expires",0);
httpResponse.setHeader("Pragma","no-cache");
12.文件上傳漏洞。
前臺僅使用JS對文件后綴做了過濾�����,這只能針對普通的用戶���,而惡意攻擊者完全可以修改表單去掉JS校驗(yàn)����。
13.Java WEB容器默認(rèn)配置漏洞��。
如TOMCAT后臺管理漏洞���,默認(rèn)用戶名及密碼登錄后可直接上傳war文件獲取webshell�。
解決方案:最好刪除���,如需要使用它來管理維護(hù),可更改其默認(rèn)路徑���,口令及密碼��。
在java中的鏈接數(shù)據(jù)庫中什么是SQL的注入漏洞����?請簡單介紹下。
隨著B/S模式應(yīng)用開發(fā)的發(fā)展��,使用這種模式編寫應(yīng)用程序的程序員也越來越多���。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊�,相當(dāng)大一部分程序員在編寫代碼的時(shí)候��,沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷��,使應(yīng)用程序存在安全隱患�����。用戶可以提交一段數(shù)據(jù)庫查詢代碼����,根
據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù)�����,這就是所謂的SQL Injection�,即SQL注入��。
名稱欄目:java代碼注入攻擊 java 代碼注入
網(wǎng)站URL:
http://weahome.cn/article/dojiohj.html
重慶分公司
重慶分公司
