sql注入/xss/csrf防御方法笔记

  • 时间:
  • 浏览:
  • 来源:互联网

SQL注入

1.简介

SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。

2.SQL注入的危害

数据库信息泄漏:数据库中存放的用户的隐私信息的泄露;网页篡改:通过操作数据库对特定网页进行篡改;数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改;服务器被远程控制,被安装后门;删除和修改数据库表信息.

3.SQL注入的方式

通常情况下,SQL注入的位置包括:
表单提交,主要是POST请求,也包括GET请求;URL参数提交,主要为GET请求参数;Cookie参数提交;HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;

4.防止SQL注入的解决方案

1)采用预编译语句集PreparedStatement
2)对用户的输入进行校验,使用正则表达式过滤传入的参数;
检测SQL meta-characters的正则表达式 :
/(%27)|(\’)|(--)|(%23)|(#)/ix
修正检测SQL meta-characters的正则表达式 :/((%3D)|(=))[^\n]((%27)|(\’)|(--)|(%3B)|(😃)/i
典型的SQL 注入攻击的正则表达式 :/\w
((%27)|(\’))((%6F)|o|(%4F))((%72)|r|(%52))/ix
检测SQL注入,UNION查询关键字的正则表达式 :/((%27)|(\’))union/ix(%27)|(\’)
检测MS SQL Server SQL注入攻击的正则表达式:
/exec(\s|+)+(s|x)p\w+/ix

3)字符串过滤
比较通用的一个方法:
(||之间的参数可以根据自己程序的需要添加)
public static boolean sql_inj(String str){
String inj_str = “’|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,”;
String inj_stra[] = split(inj_str,"|");
for (int i=0 ; i < inj_stra.length ; i++ ){
if (str.indexOf(inj_stra[i])>=0){
return true;
}
}
return false;
}

4)jsp中调用该函数检查是否包函非法字符
防止SQL从URL注入:

sql_inj.java代码:
package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class sql_inj{
public static boolean sql_inj(String str){
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
//这里的东西还可以自己添加
String[] inj_stra=inj_str.split("\\|");
for (int i=0 ; i &lt; inj_stra.length ; i++ ){
if (str.indexOf(inj_stra[i])&gt;=0){
return true;
}
}
return false;
}
}

5)JSP页面判断代码
使用javascript在客户端进行不安全字符屏蔽
功能介绍:检查是否含有”‘”,”\”,”/”
参数说明:要检查的字符串
返回值:0:是1:不是
函数名是
function check(a){
return 1;
fibdn = new Array (”‘” ,”\”,”/”);
i=fibdn.length;
j=a.length;
for (ii=0; ii<i; ii++)
{ for (jj=0; jj<j; jj++)
{ temp1=a.charAt(jj);
temp2=fibdn[ii];
if (tem’; p1==temp2)
{ return 0; }
}
}
return 1;
}

6)使用参数化语句,不要拼接sql,也可以使用安全的存储过程;

PHP中的参数化语句
 PHP有三种用于数据库访问的框架,访问MySQL的mysqli包,PEAR::MDB2包及PDO(PHP Database Object)
① mysqli包适用于PHP5.x,可以访问MySQL 4.1+的版本
$con  = new mysqli("localhost","username","password","dbname");
$sql  = "select * from users where username=? and password=?";
$cmd = $con->prepare($sql);
$cmd->bind_param("ss", $username, $password);
$cmd -> execute();
② PHP使用PostgreSQl数据库
$result = pg_query_params("select * from users where username=$1 and password=$2", Array($username, $password));
//开发人员可以在同一行代码提供SQL查询和参数
③ PEAR::MDB2支持冒号字符参数和问号占位符两种方式定义参数
$mdb2 = & MDB2::factory($dsn);
$sql = "select * from users where username=? and password=?";
$types = array('text','text');

$cmd  = $mdb2->prepare($sql, $types, MDS2_PREPARE_MANIP);
$data = array($username, $password);

$result = $cmd->execute($data);
④ PDO是一个面向对象且独立于供应商的数据层,支持冒号字符参数和问号占位符两种方式定义参数
$sql  = "select * from uses where username=:username and" + "password=:password";

$stmt = $dbh->prepare($sql);

$stmt->bindParam(':username', $username, PDO::PARAM_STR,12);
$stmt->bindParam(':password', $password, PDO::PARAM_STR,12);

$stmt->execute();

7)不要使用管理员权限的数据库连接,为每个应用使用权限有限的数据库连接;
8)检查数据存储类型;
9)重要的信息一定要加密。

XSS

1.XSS简介

跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。
XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

2.XSS攻击的危害

1)盗取用户资料,比如:登录帐号、网银帐号等
2)利用用户身份,读取、篡改、添加、删除数据等
3)盗窃重要的具有商业价值的资料
4)非法转账
5)强制发送电子邮件
6)网站挂马
7)控制受害者机器向其它网站发起攻击

3.防止XSS解决方案

XSS的根源主要是没完全过滤客户端提交的数据 ,所以重点是要过滤用户提交的信息。
转义
使用转义解决。将<转义为&lt >转义为&gt

①使用过滤器,拦截所有请求,重写request

②重写获取值的方法,将特殊代码转换成html

具体代码实现:

XssHttpServletRequest.java

package cn.itcats;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
import org.apache.commons.lang3.StringEscapeUtils;
import org.apache.commons.lang3.StringUtils;
 
public class XssHttpServletRequest extends HttpServletRequestWrapper{
	private HttpServletRequest request;
	
    //需要重写构造方法
	public XssHttpServletRequest(HttpServletRequest request) {
		super(request);
		this.request = request;
	}
	    
    //需要重写getParameter(name)方法,将value进行转义
	public String getParameter(String name) {
		String value = request.getParameter(name);
		System.out.println("没有转义之前:value="+value);
		if(StringUtils.isNotBlank(value)){
			//转化为html,<script>标签都会转化为html格式  &lt;script&gt;
			//工具类来自于org.apache.commons.lang3.StringEscapeUtils
			value = StringEscapeUtils.escapeHtml4(value);
		}
		return value;
	}
 
}
web.xml配置过滤器

<!-- 防止XSS攻击 -->
    <filter>
    	<filter-name>FilterXSS</filter-name>
    	<filter-class>cn.itcats.FilterXSS</filter-class>
    </filter>
    
    <filter-mapping>
    	<filter-name>FilterXSS</filter-name>
    	<url-pattern>/*</url-pattern>
    </filter-mapping>
 

 

 

FilterXss.java

package cn.itcats;
 
import java.io.IOException;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
 
public class FilterXSS implements Filter{
 
	public void init(FilterConfig filterConfig) throws ServletException {
		
	}
 
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		//强转为HttpServletRequest
		HttpServletRequest req = (HttpServletRequest)request;
		//需要重写request,重建一个类XssHttpServletRequest 继承 HttpServletRequestWrapper,重写构造和getParameter方法
		XssHttpServletRequest xssHttpServletRequest = new XssHttpServletRequest(req);
		//务必传入是重写过的request,放行
		chain.doFilter(xssHttpServletRequest, response);
	}
 
	public void destroy() {
		
	}
 
}

非法字符过滤
一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码

  1 import java.net.URLEncoder;
  2 
  3 /**
  4  * 过滤非法字符工具类
  5  * 
  6  */
  7 public class EncodeFilter {
  8 
  9     
 10     public static String encode(String input) {
 11         if (input == null) {
 12             return input;
 13         }
 14         StringBuilder sb = new StringBuilder(input.length());
 15         for (int i = 0, c = input.length(); i < c; i++) {
 16             char ch = input.charAt(i);
 17             switch (ch) {
 18                 case '&': sb.append("&amp;");
 19                     break;
 20                 case '<': sb.append("&lt;");
 21                     break;
 22                 case '>': sb.append("&gt;");
 23                     break;
 24                 case '"': sb.append("&quot;");
 25                     break;
 26                 case '\'': sb.append("&#x27;");
 27                     break;
 28                 case '/': sb.append("&#x2F;");
 29                     break;
 30                 default: sb.append(ch);
 31             }
 32         }
 33         return sb.toString();
 34     }
 35 
 36     
 37     public static String encodeForJS(String input) {
 38         if (input == null) {
 39             return input;
 40         }
 41 
 42         StringBuilder sb = new StringBuilder(input.length());
 43 
 44         for (int i = 0, c = input.length(); i < c; i++) {
 45             char ch = input.charAt(i);
 46 
 47             
 48             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||
 49                     ch >= '0' && ch <= '9' ||
 50                     ch == ',' || ch == '.' || ch == '_') {
 51                 sb.append(ch);
 52             } else {
 53                 String temp = Integer.toHexString(ch);
 54 
 55                 
 56                 if (ch < 256) {
 57                     sb.append('\\').append('x');
 58                     if (temp.length() == 1) {
 59                         sb.append('0');
 60                     }
 61                     sb.append(temp.toLowerCase());
 62 
 63                 
 64                 } else {
 65                     sb.append('\\').append('u');
 66                     for (int j = 0, d = 4 - temp.length(); j < d; j ++) {
 67                         sb.append('0');
 68                     }
 69                     sb.append(temp.toUpperCase());
 70                 }
 71             }
 72         }
 73 
 74         return sb.toString();
 75     }
 76 
 77     /**
 78      * css非法字符过滤
 79      * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters
 80     */
 81     public static String encodeForCSS(String input) {
 82         if (input == null) {
 83             return input;
 84         }
 85 
 86         StringBuilder sb = new StringBuilder(input.length());
 87 
 88         for (int i = 0, c = input.length(); i < c; i++) {
 89             char ch = input.charAt(i);
 90 
 91             
 92             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||
 93                     ch >= '0' && ch <= '9') {
 94                 sb.append(ch);
 95             } else {
 96                 
 97                 sb.append('\\').append(Integer.toHexString(ch)).append(' ');
 98             }
 99         }
100         return sb.toString();
101     }
102 
103     /**
104      * URL参数编码 
105      * http://en.wikipedia.org/wiki/Percent-encoding
106      */ 
107     public static String encodeURIComponent(String input) {
108         return encodeURIComponent(input, "utf-8");
109     }
110 
111     public static String encodeURIComponent(String input, String encoding) {
112         if (input == null) {
113             return input;
114         }
115         String result;
116         try {
117             result = URLEncoder.encode(input, encoding);
118         } catch (Exception e) {
119             result = "";
120         }
121         return result;
122     }
123 
124     public static boolean isValidURL(String input) {
125         if (input == null || input.length() < 8) {
126             return false;
127         }
128         char ch0 = input.charAt(0);
129         if (ch0 == 'h') {
130             if (input.charAt(1) == 't' &&
131                 input.charAt(2) == 't' &&
132                 input.charAt(3) == 'p') {
133                 char ch4 = input.charAt(4);
134                 if (ch4 == ':') {
135                     if (input.charAt(5) == '/' &&
136                         input.charAt(6) == '/') {
137 
138                         return isValidURLChar(input, 7);
139                     } else {
140                         return false;
141                     }
142                 } else if (ch4 == 's') {
143                     if (input.charAt(5) == ':' &&
144                         input.charAt(6) == '/' &&
145                         input.charAt(7) == '/') {
146 
147                         return isValidURLChar(input, 8);
148                     } else {
149                         return false;
150                     }
151                 } else {
152                     return false;
153                 }
154             } else {
155                 return false;
156             }
157 
158         } else if (ch0 == 'f') {
159             if( input.charAt(1) == 't' &&
160                 input.charAt(2) == 'p' &&
161                 input.charAt(3) == ':' &&
162                 input.charAt(4) == '/' &&
163                 input.charAt(5) == '/') {
164 
165                 return isValidURLChar(input, 6);
166             } else {
167                 return false;
168             }
169         }
170         return false;
171     }
172 
173     static boolean isValidURLChar(String url, int start) {
174         for (int i = start, c = url.length(); i < c; i ++) {
175             char ch = url.charAt(i);
176             if (ch == '"' || ch == '\'') {
177                 return false;
178             }
179         }
180         return true;
181     }
182 
183 }
 

二、 过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。、严格控制输出
可以利用下面这些函数对出现xss漏洞的参数进行过滤

1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。

2、htmlentities() 函数,用于转义处理在页面上显示的文本。

3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。

4、header() 函数,使用header(“Content-type:application/json”); 用于控制 json 数据的头部,不用于浏览。

5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。

6、intval() 函数用于处理数值型参数输出页面中。

7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。

各语言示例:

PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。

1)将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了.
2)只允许用户输入我们期望的数据。 例如:age用户年龄只允许用户输入数字,而数字之外的字符都过滤掉。
3)对数据进行Html Encode 处理: 用户将数据提交上来的时候进行HTML编码,将相应的符号转换为实体名称再进行下一步的处理。
4)过滤或移除特殊的Html标签, 例如:
5)过滤js事件的标签。例如 “οnclick=”, “onfocus” 等等。

CSRF攻击(跨站点请求伪造)

1.CSRF简介

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
XSS主要是利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求,来利用受信任的网站。与XSS攻击相比,CSRF更具危险性。

2.CSRF攻击的危害

主要的危害来自于,攻击者盗用用户身份,发送恶意请求。比如:模拟用户发送邮件,发消息,以及支付、转账等。

3.防止CSRF的解决方案

重要数据交互采用POST进行接收,当然是用POST也不是万能的,伪造一个form表单即可破解。
使用验证码,只要是涉及到数据交互就先进行验证码验证,这个方法可以完全解决CSRF。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。
验证HTTP Referer字段,该字段记录了此次HTTP请求的来源地址,最常见的应用是图片防盗链。为每个表单添加令牌token并验证。
// 从 HTTP 头中取得 Referer 值
String referer=request.getHeader(“Referer”);
// 判断 Referer 是否以 bank.example 开头
if((referer!=null) &&(referer.trim().startsWith(“bank.example”))){
chain.doFilter(request, response);
}else{
request.getRequestDispatcher(“error.jsp”).forward(request,response);
}

小补充:
SQL
1.pdo预编译
2.限制输入长度
3.转义过滤

pdo防SQL原理:https://www.cnblogs.com/leezhxing/p/5282437.html
XSS
1.用户提交参数过滤
2.html标签实体化

function RemoveXss($values){

    $str = trim($values);  //清理空格  

    $str = strip_tags($str);   //过滤html标签  

    $str = htmlspecialchars($str);   //将字符内容转化为html实体  

    $str = addslashes($str);  //防止SQL注入

    return $str;  
}

笔记有可能做的不是那么好,有点乱,望体谅!

本文链接http://element-ui.cn/article/show-4227.aspx