常见的网站安全问题
发布时间:2025-03-18 点击:13
尽管你的网站用了很多高大上的技术,但是如果网站的安全性不足,无法保护网站的数据,甚至成为恶意程序的寄生温床,那前面堆砌了再多的美好也都成了枉然。
sql注入
在众多安全性漏洞中,sql 注入绝对是最严重但也是最好处理的一种安全漏洞。在数据库执行查询句时,如果将恶意用户给出的参数直接拼接在查询句上,就有可能发生。
举个例子,假设原本某网站登录验证的查询句长这样:
strsql="select*fromuserswhere(name='"+username+"')and(pw='"+password+"');"而恶意用户输入的参数为:
username="1'or'1'='1"; password="1'or'1'='1";由于代码中是直接将参数与查询句做字串做的拼接,所以 sql 就成为了这样:
strsql="select*fromuserswhere(name='1'or'1'='1')and(pw='1'or'1'='1');" //相当于 strsql="select*fromusers;"这样一来,账号密码就形同虚设,甚至可以拿到整个数据库的结构(select * from sys.tables)、任意修改、查询数据,整个网站的数据就全部泄露了。
不过解决方法也很简单,只要通过参数化查询来避免直接将参数与查询句拼接,并进行适当的输入检查、插入转义字符、严格设定程序权限,就能够有效避免 sql 注入了。
xss
xss(跨站攻击)也叫javascript 注入,是现代网站最频繁出现的问题之一,它指的是网站被恶意用户植入了其他代码,通常发生在网站将用户输入的内容直接放到网站内容时。例如论坛、留言板等可以输入任意文字的网站,恶意用户如果写入一小段 <script>,并且前、后端都没有针对输入内容做字符转换和过滤处理,直接把用户输入的字串作为页面内容的话,就有可能遭到 xss。
常见的 xss 有几个类型:将恶意代码写入数据库,当数据被读取出来时就会执行的储存型 xss;将用户输入的内容直接带回页面上的反射型 xss;以及利用 dom 的特性,各种花式执行恶意代码的dom-based 型 xss。
储存型及反射型都很好理解,dom-based 型就非常有意思了;可以参考oswap 整理的xss filter evasion cheat sheet[1],绝大多数的 xss 方式,都是通过各个元素的 background-image 属性或者元素上的各种事件回调来实现;其中特别值得注意的是 svg,由于 svg 中可以写入任意 html,还可以加上 onload 事件,如果把 svg 当成普通图片处理,直接作为网站内容使用,如果遇到恶意用户的话,后果不堪设想。所以在上线上传图片功能时,务必要把 svg 过滤掉!
避免 xss 的方法其实也很简单,只要在数据输入输出时做好字符转换,使恶意代码不被执行,而是被解析成字符就可以了。
csrf
csrf(跨站请求伪造)是一种利用 cookie 及 session 认证机制进行攻击的手段;由于 session 认证的其实不是用户本人,而是浏览器,那么只要通过网页dom 元素可以跨域的机制,对已经得到认证的网站发出请求,就可以假冒用户,从而拿到敏感信息。
例如某家银行的转账 api 的url 是这样的:
http://www.examplebank.com/withdraw?account=accoutname&amount=1000&for=payeename而恶意用户如果在网站中塞进一个 的话:
<imgsrc="http://www.examplebank.com/withdraw?account=alice&amount=1000&for=badman">当不知情的用户浏览到攻击者的网站时, 会自动发出这个请求,如果用户登录银行的 session 尚未过期,那么这个请求很可能就会被银行接受,最后会在用户本人不知情的情况下“被”转帐。
这种攻击方式可以与前面所说的 xss 是相辅相成,例如在没有防范 xss 的论坛网站中植入 ,那么其 src 属性就应该是获取敏感信息的 api url。
解决方法主要有以下几种:
检查 referer:在服务器端检查请求头中 referer 的值,也就是检查请求的来源,如果是来自允许的网站,才会正常执行 api 的功能。 csrf token:在 cookie 及请求发送的数据中都加上 csrftoken,并检查值是否相同,如果请求来源是自己的网站验证就会通过;反之,由于外部网站无法在代码中得到其他网站的 cookie,因此无法在请求中带上 csrftoken。 samesite cookie:在 cookie 中加上 samesite 属性,确保 cookie 仅能在自己的网站使用。json 劫持
json 劫持是利用现代网站前后端通过 api 进行数据交换的特性,只要能获得使用者权限,并调用获取资料的 api,再加上改写原生的 javascript 对象,就可以窃取用户的敏感信息。
获得权限的部分于 csrf 相同,通过 <script> 可以跨域的特性直接使用浏览器用户的 cookie;攻击者只需要在网页上通过 <script> 调用获取数据的 api 完成对数据的窃取。
例如:
object.prototype.__definesetter__('user',function(obj){ for(variinobj){ alert(i+'='+obj[i]); } });当回传的数据中含有 user 属性时,由于 setter 通过 object.prototype.__definesetter__ 改写了,user 中的值会被全部读取。
然而 object.prototype.__definesetter__ 可以修改原生对象所造成的问题,早已经在 es4 中就被修复了,json 劫持也因此销声匿迹,但是从 es6 开始又添加了 proxy,使 json 劫持又再次成为可能:
<script> <script> object.setprototypeof( __proto__, newproxy(__proto__,{ has:function(target,name){ alert( name.replace(/./g,function(c){ c=c.charcodeat(0) returnstring.fromcharcode(c>>8,c&0xff) }) ) } }) ) </script> <scriptcharset="utf-16be"src="external-script-with-array-literal"></script>看起来很恐怖,那么该如何解决呢?除了前面所说的 csrf token 外,许多大公司还采用了另一种有趣的解决方式。即 api 的响应内容开头为 for (;;);,这也是利用 了<script> 引入的 javascript 会立即执行的特性,把攻击者的网站卡死在循环里。
总结
除了文中提到的四种常见的网站安全漏洞外,一个网站还有很多细节需要考虑,例如不要用明码存储密码等敏感信息,针对来源 ip 做流量限制防止 dos 等等。所以在进行网站开发时要保持安全意识,尽可能做好基本的防护措施。
动态网页对搜索引擎的影响
关键词SEO排名总也上不去?那是你没用好这些优化辅助工具!
企业建设手机网站的主要效果分析
外贸网站与国内网站建设有什么不同之处
沧州问卷答题小程序开发有什么好处?
浅谈企业建站使用香港服务器的优势与劣势
网站推广文章的六个基本功
【网站建设】网站建设中网站头部的制作方法
sql注入
在众多安全性漏洞中,sql 注入绝对是最严重但也是最好处理的一种安全漏洞。在数据库执行查询句时,如果将恶意用户给出的参数直接拼接在查询句上,就有可能发生。
举个例子,假设原本某网站登录验证的查询句长这样:
strsql="select*fromuserswhere(name='"+username+"')and(pw='"+password+"');"而恶意用户输入的参数为:
username="1'or'1'='1"; password="1'or'1'='1";由于代码中是直接将参数与查询句做字串做的拼接,所以 sql 就成为了这样:
strsql="select*fromuserswhere(name='1'or'1'='1')and(pw='1'or'1'='1');" //相当于 strsql="select*fromusers;"这样一来,账号密码就形同虚设,甚至可以拿到整个数据库的结构(select * from sys.tables)、任意修改、查询数据,整个网站的数据就全部泄露了。
不过解决方法也很简单,只要通过参数化查询来避免直接将参数与查询句拼接,并进行适当的输入检查、插入转义字符、严格设定程序权限,就能够有效避免 sql 注入了。
xss
xss(跨站攻击)也叫javascript 注入,是现代网站最频繁出现的问题之一,它指的是网站被恶意用户植入了其他代码,通常发生在网站将用户输入的内容直接放到网站内容时。例如论坛、留言板等可以输入任意文字的网站,恶意用户如果写入一小段 <script>,并且前、后端都没有针对输入内容做字符转换和过滤处理,直接把用户输入的字串作为页面内容的话,就有可能遭到 xss。
常见的 xss 有几个类型:将恶意代码写入数据库,当数据被读取出来时就会执行的储存型 xss;将用户输入的内容直接带回页面上的反射型 xss;以及利用 dom 的特性,各种花式执行恶意代码的dom-based 型 xss。
储存型及反射型都很好理解,dom-based 型就非常有意思了;可以参考oswap 整理的xss filter evasion cheat sheet[1],绝大多数的 xss 方式,都是通过各个元素的 background-image 属性或者元素上的各种事件回调来实现;其中特别值得注意的是 svg,由于 svg 中可以写入任意 html,还可以加上 onload 事件,如果把 svg 当成普通图片处理,直接作为网站内容使用,如果遇到恶意用户的话,后果不堪设想。所以在上线上传图片功能时,务必要把 svg 过滤掉!
避免 xss 的方法其实也很简单,只要在数据输入输出时做好字符转换,使恶意代码不被执行,而是被解析成字符就可以了。
csrf
csrf(跨站请求伪造)是一种利用 cookie 及 session 认证机制进行攻击的手段;由于 session 认证的其实不是用户本人,而是浏览器,那么只要通过网页dom 元素可以跨域的机制,对已经得到认证的网站发出请求,就可以假冒用户,从而拿到敏感信息。
例如某家银行的转账 api 的url 是这样的:
http://www.examplebank.com/withdraw?account=accoutname&amount=1000&for=payeename而恶意用户如果在网站中塞进一个 的话:
<imgsrc="http://www.examplebank.com/withdraw?account=alice&amount=1000&for=badman">当不知情的用户浏览到攻击者的网站时, 会自动发出这个请求,如果用户登录银行的 session 尚未过期,那么这个请求很可能就会被银行接受,最后会在用户本人不知情的情况下“被”转帐。
这种攻击方式可以与前面所说的 xss 是相辅相成,例如在没有防范 xss 的论坛网站中植入 ,那么其 src 属性就应该是获取敏感信息的 api url。
解决方法主要有以下几种:
检查 referer:在服务器端检查请求头中 referer 的值,也就是检查请求的来源,如果是来自允许的网站,才会正常执行 api 的功能。 csrf token:在 cookie 及请求发送的数据中都加上 csrftoken,并检查值是否相同,如果请求来源是自己的网站验证就会通过;反之,由于外部网站无法在代码中得到其他网站的 cookie,因此无法在请求中带上 csrftoken。 samesite cookie:在 cookie 中加上 samesite 属性,确保 cookie 仅能在自己的网站使用。json 劫持
json 劫持是利用现代网站前后端通过 api 进行数据交换的特性,只要能获得使用者权限,并调用获取资料的 api,再加上改写原生的 javascript 对象,就可以窃取用户的敏感信息。
获得权限的部分于 csrf 相同,通过 <script> 可以跨域的特性直接使用浏览器用户的 cookie;攻击者只需要在网页上通过 <script> 调用获取数据的 api 完成对数据的窃取。
例如:
object.prototype.__definesetter__('user',function(obj){ for(variinobj){ alert(i+'='+obj[i]); } });当回传的数据中含有 user 属性时,由于 setter 通过 object.prototype.__definesetter__ 改写了,user 中的值会被全部读取。
然而 object.prototype.__definesetter__ 可以修改原生对象所造成的问题,早已经在 es4 中就被修复了,json 劫持也因此销声匿迹,但是从 es6 开始又添加了 proxy,使 json 劫持又再次成为可能:
<script> <script> object.setprototypeof( __proto__, newproxy(__proto__,{ has:function(target,name){ alert( name.replace(/./g,function(c){ c=c.charcodeat(0) returnstring.fromcharcode(c>>8,c&0xff) }) ) } }) ) </script> <scriptcharset="utf-16be"src="external-script-with-array-literal"></script>看起来很恐怖,那么该如何解决呢?除了前面所说的 csrf token 外,许多大公司还采用了另一种有趣的解决方式。即 api 的响应内容开头为 for (;;);,这也是利用 了<script> 引入的 javascript 会立即执行的特性,把攻击者的网站卡死在循环里。
总结
除了文中提到的四种常见的网站安全漏洞外,一个网站还有很多细节需要考虑,例如不要用明码存储密码等敏感信息,针对来源 ip 做流量限制防止 dos 等等。所以在进行网站开发时要保持安全意识,尽可能做好基本的防护措施。
动态网页对搜索引擎的影响
关键词SEO排名总也上不去?那是你没用好这些优化辅助工具!
企业建设手机网站的主要效果分析
外贸网站与国内网站建设有什么不同之处
沧州问卷答题小程序开发有什么好处?
浅谈企业建站使用香港服务器的优势与劣势
网站推广文章的六个基本功
【网站建设】网站建设中网站头部的制作方法
上一篇:5个细节决定你网站优化排名效果
下一篇:企业网站优化有哪些捷径呢