1. SQL注入
1.1 概念:
通過(guò) SQL 命令插入到 web 表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串犀概,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令脾拆。
1.2 原理:
SQL注射能使攻擊者繞過(guò)認(rèn)證機(jī)制,完全控制遠(yuǎn)程服務(wù)器上的數(shù)據(jù)庫(kù)岖食。 目前红碑,大多數(shù)Web應(yīng)用都使用SQL數(shù)據(jù)庫(kù)來(lái)存放應(yīng)用程序的數(shù)據(jù)。SQL語(yǔ)法允許數(shù)據(jù)庫(kù)命令和用戶(hù)數(shù)據(jù)混雜在一起的泡垃。析珊,用戶(hù)數(shù)據(jù)有可能被解釋成命令羡鸥, 這樣的話,遠(yuǎn)程用戶(hù)就不僅能向Web應(yīng)用輸入數(shù)據(jù)唾琼,而且還可以在數(shù)據(jù)庫(kù)上執(zhí)行任意命令了兄春。
1.3 方式:
1.3.1 直接注入式攻擊法
直接將代碼插入到與SQL命令串聯(lián)在一起并使得其以執(zhí)行的用戶(hù)輸入變量澎剥。
1.3.2 間接的攻擊法
將惡意代碼注入要在表中存儲(chǔ)或者作為原書(shū)據(jù)存儲(chǔ)的字符串锡溯。在存儲(chǔ)的字符串中會(huì)連接到一個(gè)動(dòng)態(tài)的SQL命令中,以執(zhí)行一些惡意的SQL代碼哑姚。注入過(guò)程的工作方式是提前終止文本字符串祭饭,然后追加一個(gè)新的命令。如以直接注入式攻擊為例叙量。就是在用戶(hù)輸入變量的時(shí)候倡蝙,先用一個(gè)分號(hào)結(jié)束當(dāng)前的語(yǔ)句。然后再插入一個(gè)惡意SQL語(yǔ)句即可绞佩。由于插入的命令可能在執(zhí)行前追加其他字符串寺鸥,因此攻擊者常常用注釋標(biāo)記“—”來(lái)終止注入的字符串。執(zhí)行時(shí)品山,系統(tǒng)會(huì)認(rèn)為此后語(yǔ)句位注釋?zhuān)屎罄m(xù)的文本將被忽略胆建,不背編譯與執(zhí)行。
1.4 預(yù)防;
1.4.1 采用預(yù)編譯語(yǔ)句集肘交,它內(nèi)置了處理SQL注入的能力笆载,只要使用它的setXXX方法傳值即可。
原理:sql注入只對(duì)sql語(yǔ)句的準(zhǔn)備(編譯)過(guò)程有破壞作用涯呻,而PreparedStatement已經(jīng)準(zhǔn)備好了,執(zhí)行階段只是把輸入串作為數(shù)據(jù)處理,而不再對(duì)sql語(yǔ)句進(jìn)行解析,準(zhǔn)備,因此也就避免了sql注入問(wèn)題凉驻。
優(yōu)點(diǎn):
a. 代碼的可讀性和可維護(hù)性;
b. PreparedStatement盡最大可能提高性能复罐;
c. 最重要的一點(diǎn)是極大地提高了安全性涝登。
1.4.2 使用正則表達(dá)式過(guò)濾傳入的參數(shù)
1.4.3 字符串過(guò)濾
1.4.4 jsp中調(diào)用該函數(shù)檢查是否包函非法字符
1.4.5 JSP頁(yè)面添加客戶(hù)端判斷代碼
2. XSS 攻擊
2.1 概念:
XSS 是一種經(jīng)常出現(xiàn)在 web 應(yīng)用中的計(jì)算機(jī)安全漏洞。它允許惡意 web 用戶(hù)將代碼植入到提供給其它用戶(hù)使用的頁(yè)面中效诅,比如這些代碼包括 HTML 代碼和客戶(hù)端腳本胀滚,攻擊者利用 XSS 漏洞控制訪問(wèn)控制。
