常見的幾種web攻擊的防范辦法
不知道大家知不知道其實web應用也是非常脆弱的,所以對于web攻擊也是非常簡單的,下面小編就為大家介紹如何正確的防范web攻擊。
SQL注入攻擊
SQL注入攻擊,這個是最常聊到的話題,使用過Java的開發人員,第一個反應就是一定要使用預編譯的PrepareStatement,是吧?
什么是SQL注入攻擊
攻擊者在HTTP請求中注入惡意的SQL代碼,服務器使用參數構建數據庫SQL命令時,惡意SQL被一起構造,并在數據庫中執行。
用戶登錄,輸入用戶名 lianggzone,密碼 ‘ or ‘1’=’1 ,如果此時使用參數構造的方式,就會出現
select * from user where name = 'lianggzone' and password = '' or '1'='1'
不管用戶名和密碼是什么內容,使查詢出來的用戶列表不為空。
現在還會存在SQL注入攻擊么
這個問題在使用了預編譯的PrepareStatement后,安全性得到了很大的提高,但是真實情況下,很多同學并不重視,還是會留下漏洞的。舉個例子,看看,大家的代碼中對 sql 中 in 操作,使用了預編譯,還是仍然還是通過字符串拼接呢?
如何防范SQL注入攻擊
使用預編譯的PrepareStatement是必須的,但是一般我們會從兩個方面同時入手。
Web端 有效性檢驗。 限制字符串輸入的長度。 服務端 不用拼接SQL字符串。 使用預編譯的PrepareStatement。 有效性檢驗。(為什么服務端還要做有效性檢驗?第一準則,外部都是不可信的,防止攻擊者繞過Web端請求) 過濾SQL需要的參數中的特殊字符。比如單引號、雙引號。XSS攻擊什么是XSS攻擊
跨站點腳本攻擊,指攻擊者通過篡改網頁,嵌入惡意腳本程序,在用戶瀏覽網頁時,控制用戶瀏覽器進行惡意操作的一種攻擊方式。
這端腳本程序只是彈出一個消息框,并不會造成什么危害,攻擊的威力取決于用戶輸入了什么樣的腳本,只要稍微修改,便可使攻擊極具攻擊性。
XSS攻擊有多可怕
蠻早之前,我曾經找了幾個網站做個測試,其實大家對XSS攻擊的防范還是不夠,都成功的注入了測試腳本。
甚至,還有攻擊者提交惡意的javascript代碼的評論信息或者反饋信息(這些信息,正常客戶端沒有做xss校驗,會存在客戶端注入問題),所有訪問者訪問該內容時,都會執行這段惡意的javascript代碼。
如何防范XSS攻擊 前端,服務端,同時需要字符串輸入的長度限制。 前端,服務端,同時需要對HTML轉義處理。將其中的”<”,”>”等特殊字符進行轉義編碼。CSRF攻擊什么是CSRF攻擊
跨站點請求偽造,指攻擊者通過跨站請求,以合法的用戶的身份進行非法操作。可以這么理解CSRF攻擊:攻擊者盜用你的身份,以你的名義向第三方網站發送惡意請求。CRSF能做的事情包括利用你的身份發郵件,發短信,進行交易轉賬,甚至盜取賬號信息。
如何防范CSRF攻擊 安全框架,例如Spring Security。 token機制。在HTTP請求中進行token驗證,如果請求中沒有token或者token內容不正確,則認為CSRF攻擊而拒絕該請求。 驗證碼。通常情況下,驗證碼能夠很好的遏制CSRF攻擊,但是很多情況下,出于用戶體驗考慮,驗證碼只能作為一種輔助手段,而不是最主要的解決方案。 referer識別。在HTTP Header中有一個字段Referer,它記錄了HTTP請求的來源地址。如果Referer是其他網站,就有可能是CSRF攻擊,則拒絕該請求。但是,服務器并非都能取到Referer。很多用戶出于隱私保護的考慮,限制了Referer的發送。在某些情況下,瀏覽器也不會發送Referer,例如HTTPS跳轉到HTTP。文件上傳漏洞什么是文件上傳漏洞
文件上傳漏洞,指的是用戶上傳一個可執行的腳本文件,并通過此腳本文件獲得了執行服務端命令的能力。
許多第三方框架、服務,都曾經被爆出文件上傳漏洞,比如很早之前的Struts2,以及富文本編輯器等等,可能被一旦被攻擊者上傳惡意代碼,有可能服務端就被人黑了。
如何防范文件上傳漏洞 文件上傳的目錄設置為不可執行。 判斷文件類型。在判斷文件類型的時候,可以結合使用MIME Type,后綴檢查等方式。因為對于上傳文件,不能簡單地通過后綴名稱來判斷文件的類型,因為攻擊者可以將可執行文件的后綴名稱改為圖片或其他后綴類型,誘導用戶執行。 對上傳的文件類型進行白名單校驗,只允許上傳可靠類型。 上傳的文件需要進行重新命名,使攻擊者無法猜想上傳文件的訪問路徑,將極大地增加攻擊成本,同時向shell.php.rar.ara這種文件,因為重命名而無法成功實施攻擊。 限制上傳文件的大小。 單獨設置文件服務器的域名。訪問控制
一般來說,“基于URL的訪問控制”是最常見的。
垂直權限管理
訪問控制實際上是建立用戶與權限之間的對應關系,即“基于角色的訪問控制”,RBAC。不同角色的權限有高低之分。高權限角色訪問低權限角色的資源往往是被允許的,而低權限角色訪問高權限的資源往往被禁止的。在配置權限時,應當使用“最小權限原則”,并使用“默認拒絕”的策略,只對有需要的主體單獨配置”允許”的策略,這在很多時候能夠避免發生“越權訪問”。
例如,Spring Security, Apache Shiro都可以建立垂直權限管理。
水平權限管理
水平權限問題在同一個角色上,系統只驗證了訪問數據的角色,沒有對角色內的用戶做細分,由于水平權限管理是系統缺乏一個數據級的訪問控制所造成的,因此水平權限管理又可以稱之為“基于數據的訪問控制”。
舉個理解,比如我們之前的一個助手產品,客戶端用戶刪除評論功能,如果沒有做水平權限管理,即設置只有本人才可以刪除自己的評論,那么用戶通過修改評論id就可以刪除別人的評論這個就存在危險的越權操作。
這個層面,基本需要我們業務層面去處理,但是這個也是最為經常遺落的安全點。
總結
上面列舉的幾個話題,都是我在開發過程中,遇到的比較常見的Web安全話題,以及一些防范方案,需要我們在開發過程中及時規避,而不是依靠安全人員或者真正用戶,甚至惡意的攻擊者幫我們去發現問題。當然,還有很多Web安全話題,例如遠程執行漏洞、拒絕服務攻擊、Session保持攻擊等等
【常見的幾種web攻擊的防范辦法】相關文章:
黑客Web攻擊的十大原因10-04
防止“黑客”攻擊的十種辦法07-19
關于用iptables來防止web服務器被CC攻擊10-10
黑客攻擊常見方式和安全策略10-07
記敘文開頭與結尾常見的幾種方法11-04
電腦常見的故障和解決辦法10-03
效防范局域網病毒入侵地辦法10-06
關于網卡常見故障及解決辦法10-05
電腦音箱常見故障與解決辦法10-06