web服务器安全,怎么禁止在钉钉里浏览网页?
禁止在钉钉里浏览网页的方法是:

打开钉钉,点击下方的【发现】选项,再点击下上方的【圈子】选项栏。
然后,我们点击下我们要设置的圈子。
然后,我们点击下右上角的【管理】按钮。
接着,我们点击下【更多设置】选项栏。
点击下【允许查看和加入圈子】开关按钮,将其关闭。
为什么现在DNF解除安全模式的页面打不开?
谢谢邀请!
DNF账号出现敏感操作,异地登录等异常情况的时候,系统会提示安全模式,旨在保护玩家的账号不受盗号者侵害;我以前经常在网吧玩,账号经常会出现安全模式,积累了一些经验。
玩家账号进入安全模式后,需要到官网的安全中心去进行手动解除。但有时候,由于网络延迟,或者是使用的人过多的时候,就会出现解除安全模式页面打不开,一直转圈圈。
遇到这种情况,我们可以在微信上进行解除安全模式的操作:
(1)找到腾讯游戏安全中心,点击自助服务,然后可以看到“安全模式”按钮;
(2)进入安全模式,选择游戏地下城与勇士;
(3)然后就可以输入密码,解除安全模式了;
但是,有时候游戏里明明显示是“账号进入安全模式”,但是微信端却提示“未检测到你的账号处于安全模式状态”,如果这样,还是只能到官网解除,通过手机发信息的方式解除,还是遇到一直转圈圈,那就按F5键,多刷新几次吧,如果还不行,换一个浏览器试一试,效果也不错。
我是玩家秀,关注DNF玩家秀,深渊闪光不停,打团金牌不断,图文原创,欢迎交流。server2022好用么?
windows server 2022简体中文版是一款服务器操作系统,微软近日发布的最新预览版20308,并将其名称从Windows Server vNext重命名为Windows Server 2022。这里提供最新ISO镜像,需要的朋友可下载试试!功能介绍
Chromium Edge作为默认浏览器
对于服务器操作系统,这件事听起来可能并不那么令人兴奋,但实际上确实令人惊奇:多年来,管理员不得不将陈旧的IE用作Windows Server中浏览Web的默认工具。尽管这不是一个好的选择,但是对于大多数管理任务来说,这就足够了。
随着时间的推移,Edge浏览器已经在Windows 10上发布,但从未真正进入Windows服务器端,因此,用户还得继续使用IE。
但是现在,这些时代终于过去了:我们现在也可以在Windows Server上使用当前强大的Edge浏览器,更好的消息是:微软删除了IE的增强安全性配置!好极了!
银行卡不开通网上银行是不是更安全?
2017年6月13号,上海奉贤区某家银行门口,出现大量排队老人取钱,让银行工作人员警惕的是,这些没有网上银行的老人,只是为了取钱给某家公司投资挣利息!
现在的老年人有一个非常固定的行为模式,基本上他(她)们都不会使用网上银行,在老人的眼中网上银行就是不安全的代名词!
所以固执地不使用网络银行服务,可是不开通网上银行,银行卡内的资金就安全吗?很明显不是的!
2017年6月13号,在上海这个繁华城市中,奉贤区金汇派出所突然接到银行内部的报警电话。
当派出所的民警们赶到现场,看到眼前的一幕却有些哭笑不得,原来今天这家银行门口突然出现大量老人排队!
而当工作人员急急忙忙出来询问:大爷大妈,来银行干嘛?,老人们统一回答都是说:取钱,投资,挣利息!
银行工作人员很是苦口婆心地劝解了许久,这些老人依然固执己见,不得已工作人员这才报警,希望警察能好好劝解这些老人。
在警方的努力下,这些老人们终于意识到了问题,也放弃了取钱给骗子公司投资的想法,而警方在和大爷大妈聊天后,也哭笑不得的发现了为什么这些老人这么容易上当!
原来大爷大妈们经常在一家名叫:深圳市长者乐园投资发展有限公司上海奉贤第一分公司内听课。
而在听课的同时,这家公司经常性地给大爷大妈们,发免费的鸡蛋和保健品,而通过这种方式,获得了老年人的好感度!
骗子眼看这些老人们已经对自己深信不疑,直接打着开会的名义,谎称该公司即将上市需要刷流水。
如果老人们可以投资他们,当公司成功上市后,直接许诺未来给公司的原始股和大量的利息,正是因为如此,这些老年人这才一起排队取钱。
虽然这些老人经过警方的劝解挽回了损失,但是作为没有网上银行卡的老人群体,按道理来说卡内资金应该是更安全!可是他(她)们为什么会经常上当受骗?
许多人都说老年人性格贪小便宜,这才会被许多骗子盯上,这个想法有一定的道理,但是也不全对!为什么会这么说?
其实我们只要深层次地研究一下骗子的手法,就可以从中摸索出,为什么老年人会这么容易上当受骗!
作为骗子,他(她)如果想骗人,最基本的做法就是“套近乎”而这就是任何骗局的最重要的基本条件。
俗话说,天上不会掉馅饼,这句话继承了我们几千年来的文化底蕴,也表明了我们的先人对待免费的态度。
然而我们几千年的历史也表明了,我们在面对免费时,必然会心动!却忽略了免费往往是最贵的。
案例一:
2005年,河南郑州金水区的王阿姨在单元门口晒太阳时,无意间从地上看到一个“全动力胶囊”宣传手册。
王阿姨在上面看到某某公司在今天举行“免费”问诊活动,只需要人到场,不需要花费一分钱,可以获得专家全身体检一次。
王阿姨很是心动,她直接通过宣传手册上的电话联系了对方,而对方也是很客气地邀请王阿姨上门做体检。
王阿姨直接挂掉电话坐着公交车赶到了现场,而在现场中一位孙姓专家诊断出王阿姨身体不容乐观!
如果不购买他们家的商品,必然在未来几天后,会突发疾病造成严重后果,王阿姨听信了孙专家的话语花费5万块购买了大量的保健品。
然而没过几天后,经过王阿姨儿女的劝解,她最终醒悟了过来,但是已经为时已晚,王阿姨的损失已经无法追回!
而这就是典型的打着“免费”的幌子,来让人放松警惕,从而达到自己的目的!
案例二:65岁的山东刘大叔酷爱收藏,刘大叔每年为了能收藏到好的收藏品,选择经常出入各大收藏品公司。
而就在这些收藏公司内,刘大叔认识了一位张姓工作人员,刘大叔也经常通过这位张姓工作人员购买了许多藏品。
2003年7月份,刘大叔接到张姓工作人员的电话,电话中他表示最近手头有一批字画,刘大叔感兴趣可以购买,如果未来升值公司会负责回收。
刘大叔听完以后心动不已,顿时花费几十万从张姓工作人员手中购买了一批字画,而就在刘大叔看着字画开心时。
刘大叔突然接到了来自广东的电话,电话中明确表示:这边有一位来自“香港”的客户。想要购买他手中的字画。
刘大叔很是激动,他觉得自己可以从中赚一笔,但是电话中明确表示,需要刘大叔先交一笔鉴定费!
为此刘大叔想着尽快出手,稀里糊涂地又交了20多万的鉴定费,但最终结果却是钱货两空!
而这就是非常明显的连环套,利用的就是人们的贪婪。
以上这两起案列的受害者,都没有网上银行,而他们给骗子转账使用的也是柜台银行转账,由此可见就算不开通网上银行,只要人有贪婪心必然不安全!
那么开通网上银行的银行卡安全性又是怎么样的?安全性可以保证吗?首先我们要从几点说起:
什么是网上银行?
网上银行又被称作为网络银行,在线银行,主要是指银行使用互联网技术,通过网络向客户提供开户,查询,对账,行内转账,跨行转账,信贷,网上证券,投资理财等服务。
网上银行由于便捷性和24小时不间断服务,迅速火遍了全球,一举成为了使用人数最多的银行服务项目。
随着这些年来网络的发展,全球经济的互联性,也带来网络世界的大幅度提升,而网上银行也被我们称之为网银。
时至今日网银已经被认为是默认开通功能,如果在办理银行卡时,你没有明确反对开通网上银行。在柜台处就会被默认开通。
根据2013年和2020年的最新数据来看,目前网上银行的用户数量已经高达2553.21万户,这还只是一年前的数据,由此可见现在的网上银行用户总量有多少!
网上银行如何保证交易安全?
现在的国内社会已经离不开网上银行,这些年来我们熟悉的淘宝京东等网上商城,依托的就是网上银行的快速发展。
而淘宝和京东也已经成为了市值几千亿的巨无霸,作为业务90%来源于网络的两家企业,网上银行的安全就是他们的命脉。
而我们看起来只是在网页上点击几下鼠标,这几下小小的动作,背后却采用了银行的交易系统。
为了保证资金的安全性,以便让我们可以很好地完成购物,为此银行采用好几种方法,来保证交易的顺利进行。
首先第一点采用多重防火墙,防火墙的作用主要是分离互联网与银行内部的交易服务器,防止互联网用户的非法入侵,也就是黑客入侵。
然后在交易服务器和银行内部的网络也会有防火墙的存在,这个主要是保证银行内部网络的安全,以保证内部网络的安全。
第二点:采用性能更好,安全级别更高的服务器,既然是我们使用最多的服务项目,普通的服务器肯定不能承载如此巨量的网络连接。
为此网上银行所使用的服务器都是专门定制的,每一台的价格高达几十上百万,请注意网上银行所使用的服务器可不只是一台。
除了这些硬性条件以外,还有24小时实时安全监控,网上交易的身份认证以及网络安全员的全天候在线等。
既然网上银行的后台如此安全,那么我们个人发生丢失银行卡,会不会连带着把卡内的资金也丢失?
答案也是几率很小,原因很简单,如果我们认同开通网上银行,柜台的银行工作人员会递给我们一个银行u盾。
这个银行U盾,就是我们的数字证书,而这个小小的U盾就可以提高我们资金的安全性,在U盾内部只有一个程序和一个黑白显示屏。
这个小小U盾的工作原理,就是数字证书会有两份,有一份存在银行内部服务器内,你手里的U盾也存有一份。
当我们想要转账或者汇款的时候,点击U盾上的按钮或者插入电脑接口处,就会随机产生一组安全码。
而这个安全码和银行内部服务器存有的数字证书产生的安全码一致就可以使用资金服务,反之就会锁定!
除此之外,还有密码,动态口令卡,动态手机口令,移动口令牌,移动数字证书等各种安全措施。
所以网上银行的安全性是可以保证的,我们也不需要担心资金安全的问题。
写在最后:
所以银行卡开不开通网上银行和它的本身的安全性根本没有多大的关系,所以关于银行卡的安全性最重要的还是看我们个人。
在目前我所知道的资料中,有许多的人就算没有网上银行,就比如文中的两种案列,追根溯源,上当受骗的理由也只是人性的贪婪。
由此可知,只要我们能够做好自我防护,以目前国内网络安全性,基本上可以杜绝任何电信诈骗!
对此您怎么看?欢迎留言讨论和转发。
常见的web安全漏洞有哪些?
前言:
在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。
一、XSSXSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。
跨站脚本攻击有可能造成以下影响:
利用虚假输入表单骗取用户个人信息。利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求。显示伪造的文章或图片。XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。
XSS 的攻击方式千变万化,但还是可以大致细分为几种类型。
1.非持久型 XSS(反射型 XSS )
非持久型 XSS 漏洞,一般是通过给别人发送带有恶意脚本代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、执行。
举一个例子,比如页面中包含有以下代码:
<select> <script> document.write('' + '<option value=1>' + location.href.substring(location.href.indexOf('default=') + 8) + '</option>' ); document.write('<option value=2>English</option>'); </script> </select>
攻击者可以直接通过 URL (类似:https://xxx.com/xxx?default=<script>alert(document.cookie)</script>) 注入可执行的脚本代码。不过一些浏览器如Chrome其内置了一些XSS过滤器,可以防止大部分反射型XSS攻击。
非持久型 XSS 漏洞攻击有以下几点特征:
即时性,不经过服务器存储,直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击,拿到用户隐私数据。攻击者需要诱骗点击,必须要通过用户点击链接才能发起反馈率低,所以较难发现和响应修复盗取用户敏感保密信息为了防止出现非持久型 XSS 漏洞,需要确保这么几件事情:
Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。尽量不要从 URL,document.referrer,document.forms 等这种 DOM API 中获取数据直接渲染。尽量不要使用 eval, new Function(),document.write(),document.writeln(),window.setInterval(),window.setTimeout(),innerHTML,document.createElement() 等可执行字符串的方法。如果做不到以上几点,也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。前端渲染的时候对任何的字段都需要做 escape 转义编码。2.持久型 XSS(存储型 XSS)
持久型 XSS 漏洞,一般存在于 Form 表单提交等交互功能,如文章留言,提交文本信息等,黑客利用的 XSS 漏洞,将内容经正常功能提交进入数据库持久保存,当前端页面获得后端从数据库中读出的注入代码时,恰好将其渲染执行。
举个例子,对于评论功能来说,就得防范持久型 XSS 攻击,因为我可以在评论中输入以下内容
主要注入页面方式和非持久型 XSS 漏洞类似,只不过持久型的不是来源于 URL,referer,forms 等,而是来源于后端从数据库中读出来的数据 。持久型 XSS 攻击不需要诱骗点击,黑客只需要在提交表单的地方完成注入即可,但是这种 XSS 攻击的成本相对还是很高。
攻击成功需要同时满足以下几个条件:
POST 请求提交表单后端没做转义直接入库。后端从数据库中取出数据没做转义直接输出给前端。前端拿到后端数据没做转义直接渲染成 DOM。持久型 XSS 有以下几个特点:
持久性,植入在数据库中盗取用户敏感私密信息危害面广3.如何防御
对于 XSS 攻击来说,通常有两种方式可以用来防御。
1) CSP
CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。
通常可以通过两种方式来开启 CSP:
设置 HTTP Header 中的 Content-Security-Policy设置 meta 标签的方式这里以设置 HTTP Header 来举例:
只允许加载本站资源Content-Security-Policy: default-src 'self'
只允许加载 HTTPS 协议图片Content-Security-Policy: img-src https://*
允许加载任何来源框架Content-Security-Policy: child-src 'none'
如需了解更多属性,请查看Content-Security-Policy文档
对于这种方式来说,只要开发者配置了正确的规则,那么即使网站存在漏洞,攻击者也不能执行它的攻击代码,并且 CSP 的兼容性也不错。
2) 转义字符
用户的输入永远不可信任的,最普遍的做法就是转义输入输出的内容,对于引号、尖括号、斜杠进行转义
function escape(str) { str = str.replace(/&/g, '&') str = str.replace(/</g, '<') str = str.replace(/>/g, '>') str = str.replace(/"/g, '&quto;') str = str.replace(/'/g, ''') str = str.replace(/`/g, '`') str = str.replace(/\//g, '/') return str }
但是对于显示富文本来说,显然不能通过上面的办法来转义所有字符,因为这样会把需要的格式也过滤掉。对于这种情况,通常采用白名单过滤的办法,当然也可以通过黑名单过滤,但是考虑到需要过滤的标签和标签属性实在太多,更加推荐使用白名单的方式。
const xss = require('xss') let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>') // -> <h1>XSS Demo</h1><script>alert("xss");</script> console.log(html)
以上示例使用了 js-xss 来实现,可以看到在输出中保留了 h1 标签且过滤了 script 标签。
3) HttpOnly Cookie。
这是预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时,将其属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript窃取,保护用户cookie信息。
二、CSRFCSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web攻击,它利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。
1. CSRF攻击的原理
下面先介绍一下CSRF攻击的原理:
完成 CSRF 攻击必须要有三个条件:
用户已经登录了站点 A,并在本地记录了 cookie在用户没有登出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。站点 A 没有做任何 CSRF 防御我们来看一个例子: 当我们登入转账页面后,突然眼前一亮惊现"XXX隐私照片,不看后悔一辈子"的链接,耐不住内心躁动,立马点击了该危险的网站(页面代码如下图所示),但当这页面一加载,便会执行submitForm这个方法来提交转账请求,从而将10块转给黑客。
2.如何防御
防范 CSRF 攻击可以遵循以下几种规则:
Get 请求不对数据进行修改不让第三方网站访问到用户 Cookie阻止第三方网站请求接口请求时附带验证信息,比如验证码或者 Token1) SameSite
可以对 Cookie 设置 SameSite 属性。该属性表示 Cookie 不随着跨域请求发送,可以很大程度减少 CSRF 的攻击,但是该属性目前并不是所有浏览器都兼容。
2) Referer Check
HTTP Referer是header的一部分,当浏览器向web服务器发送请求时,一般会带上Referer信息告诉服务器是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律,如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面,来判断是不是CSRF攻击。
但在某些情况下如从https跳转到http,浏览器处于安全考虑,不会发送referer,服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞,那么攻击者可以在其他网站注入恶意脚本,受害者进入了此类同域的网址,也会遭受攻击。出于以上原因,无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。
3) Anti CSRF Token
目前比较完善的解决方案是加入Anti-CSRF-Token。即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token,并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值,会进行校验该请求当中的token和cookie当中的token值是否都存在且相等,才认为这是合法的请求。否则认为这次请求是违法的,拒绝该次服务。
这种方法相比Referer检查要安全很多,token可以在用户登陆后产生并放于session或cookie中,然后在每次请求时服务器把token从session或cookie中拿出,与本次请求中的token 进行比对。由于token的存在,攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时,当某个页面消耗掉token后,其他页面的表单保存的还是被消耗掉的那个token,其他页面的表单提交时会出现token错误。
4) 验证码
应用程序和用户进行交互过程中,特别是账户交易这种核心步骤,强制用户输入验证码,才能完成最终请求。在通常情况下,验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验,网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段,在关键业务点设置验证码。
三、点击劫持点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击。
1. 特点
隐蔽性较高,骗取用户操作"UI-覆盖攻击"利用iframe或者其它标签的属性2. 点击劫持的原理
用户在登陆 A 网站的系统后,被攻击者诱惑打开第三方网站,而第三方网站通过 iframe 引入了 A 网站的页面内容,用户在第三方网站中点击某个按钮(被装饰的按钮),实际上是点击了 A 网站的按钮。接下来我们举个例子:我在优酷发布了很多视频,想让更多的人关注它,就可以通过点击劫持来实现
iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 2; -moz-opacity: 0; opacity: 0; filter: alpha(opacity=0); } button { position: absolute; top: 270px; left: 1150px; z-index: 1; width: 90px; height:40px; } </style> ...... <button>点击脱衣</button> <img src="http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg"> <iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no"></iframe>
从上图可知,攻击者通过图片作为页面背景,隐藏了用户操作的真实界面,当你按耐不住好奇点击按钮以后,真正的点击的其实是隐藏的那个页面的订阅按钮,然后就会在你不知情的情况下订阅了。
3. 如何防御
1)X-FRAME-OPTIONS
X-FRAME-OPTIONS是一个 HTTP 响应头,在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用 iframe 嵌套的点击劫持攻击。
该响应头有三个值可选,分别是
DENY,表示页面不允许通过 iframe 的方式展示SAMEORIGIN,表示页面可以在相同域名下通过 iframe 的方式展示ALLOW-FROM,表示页面可以在指定来源的 iframe 中展示2)JavaScript 防御
对于某些远古浏览器来说,并不能支持上面的这种方式,那我们只有通过 JS 的方式来防御点击劫持了。
<head> <style id="click-jack"> html { display: none !important; } </style> </head> <body> <script> if (self == top) { var style = document.getElementById('click-jack') document.body.removeChild(style) } else { top.location = self.location } </script> </body>
以上代码的作用就是当通过 iframe 的方式加载页面时,攻击者的网页直接不显示所有内容了。
给大家推荐一个好用的BUG监控工具Fundebug,欢迎免费试用!
四、URL跳转漏洞定义:借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致的安全问题。
1.URL跳转漏洞原理
黑客利用URL跳转漏洞来诱导安全意识低的用户点击,导致用户信息泄露或者资金的流失。其原理是黑客构建恶意链接(链接需要进行伪装,尽可能迷惑),发在QQ群或者是浏览量多的贴吧/论坛中。安全意识低的用户点击后,经过服务器或者浏览器解析后,跳到恶意的网站中。
恶意链接需要进行伪装,经常的做法是熟悉的链接后面加上一个恶意的网址,这样才迷惑用户。
诸如伪装成像如下的网址,你是否能够识别出来是恶意网址呢?
http://gate.baidu.com/index?act=go&url=http://t.cn/RVTatrd http://qt.qq.com/safecheck.html?flag=1&url=http://t.cn/RVTatrd http://tieba.baidu.com/f/user/passport?jumpUrl=http://t.cn/RVTatrd
2.实现方式:
Header头跳转Javascript跳转META标签跳转这里我们举个Header头跳转实现方式:
<?php $url=$_GET['jumpto']; header("Location: $url"); ?> http://www.wooyun.org/login.php?jumpto=http://www.evil.com
这里用户会认为www.wooyun.org都是可信的,但是点击上述链接将导致用户最终访问www.evil.com这个恶意网址。
3.如何防御
1)referer的限制
如果确定传递URL参数进入的来源,我们可以通过该方式实现安全限制,保证该URL的有效性,避免恶意用户自己生成跳转链接
2)加入有效性验证Token
我们保证所有生成的链接都是来自于我们可信域的,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用,但是如果功能本身要求比较开放,可能导致有一定的限制。
五、SQL注入SQL注入是一种常见的Web安全漏洞,攻击者利用这个漏洞,可以访问或修改数据,或者利用潜在的数据库漏洞进行攻击。
1.SQL注入的原理
我们先举一个万能钥匙的例子来说明其原理:
<form action="/login" method="POST"> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <p><input type="submit" value="登陆" /></p> </form>
后端的 SQL 语句可能是如下这样的:
let querySQL = ` SELECT * FROM user WHERE username='${username}' AND psw='${password}' `; // 接下来就是执行 sql 语句...
这是我们经常见到的登录页面,但如果有一个恶意攻击者输入的用户名是 admin' --,密码随意输入,就可以直接登入系统了。why! ----这就是SQL注入
我们之前预想的SQL 语句是:
SELECT * FROM user WHERE username='admin' AND psw='password'
但是恶意攻击者用奇怪用户名将你的 SQL 语句变成了如下形式:
SELECT * FROM user WHERE username='admin' --' AND psw='xxxx'
在 SQL 中,' --是闭合和注释的意思,-- 是注释后面的内容的意思,所以查询语句就变成了:
SELECT * FROM user WHERE username='admin'
所谓的万能密码,本质上就是SQL注入的一种利用方式。
一次SQL注入的过程包括以下几个过程:
获取用户请求参数拼接到代码当中SQL语句按照我们构造参数的语义执行成功SQL注入的必备条件:
1.可以控制输入的数据2.服务器要执行的代码拼接了控制的数据。
我们会发现SQL注入流程中与正常请求服务器类似,只是黑客控制了数据,构造了SQL查询,而正常的请求不会SQL查询这一步,SQL注入的本质:数据和代码未分离,即数据当做了代码来执行。
2.危害
获取数据库信息管理员后台用户名和密码获取其他数据库敏感信息:用户名、密码、手机号码、身份证、银行卡信息……整个数据库:脱裤获取服务器权限植入Webshell,获取服务器后门读取服务器敏感文件3.如何防御
严格限制Web应用的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害后端代码检查输入的数据是否符合预期,严格限制变量的类型,例如使用正则表达式进行一些匹配处理。对进入数据库的特殊字符(',",,<,>,&,*,; 等)进行转义处理,或编码转换。基本上所有的后端语言都有对字符串进行转义处理的方法,比如 lodash 的 lodash._escapehtmlchar 库。所有的查询语句建议使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中,即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。六、OS命令注入攻击OS命令注入和SQL注入差不多,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的。OS命令注入攻击指通过Web应用,执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏,就可以执行插入的非法命令。
命令注入攻击可以向Shell发送命令,让Windows或Linux操作系统的命令行启动程序。也就是说,通过命令注入攻击可执行操作系统上安装着的各种程序。
1.原理
黑客构造命令提交给web应用程序,web应用程序提取黑客构造的命令,拼接到被执行的命令中,因黑客注入的命令打破了原有命令结构,导致web应用执行了额外的命令,最后web应用程序将执行的结果输出到响应页面中。
我们通过一个例子来说明其原理,假如需要实现一个需求:用户提交一些内容到服务器,然后在服务器执行一些系统命令去返回一个结果给用户
// 以 Node.js 为例,假如在接口中需要从 github 下载用户指定的 repo const exec = require('mz/child_process').exec; let params = {/* 用户输入的参数 */}; exec(`git clone ${params.repo} /some/path`);
如果 params.repo 传入的是 https://github.com/admin/admin.github.io.git 确实能从指定的 git repo 上下载到想要的代码。但是如果 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf /* && 恰好你的服务是用 root 权限起的就糟糕了。
2.如何防御
后端对前端提交内容进行规则限制(比如正则表达式)。在调用系统命令前对所有传入参数进行命令行参数转义过滤。不要直接拼接命令语句,借助一些工具做拼接、转义预处理,例如 Node.js 的 shell-escape npm包以上就是常见的web安全漏洞及防御方法!


还没有评论,来说两句吧...