讓你徹底了解SQL注入、XSS和CSRF

相信大家都看過各種技術(shù)文章。SQL注入、XSS和CSRF這三個名詞，但我認(rèn)為有些人可能不知道這三個詞的真正含義。接下來，騰佑科技小編將談?wù)勥@三個名詞的含義，希望對大家有所幫助。

SQL注入

SQL注入是一種注入式攻擊，由于代碼與數(shù)據(jù)（如用戶敏感數(shù)據(jù)）在項(xiàng)目中沒有隔離，在閱讀數(shù)據(jù)時錯誤地將數(shù)據(jù)作為代碼的一部分。

典型的例子是當(dāng)對SQL字符串拼接時，未轉(zhuǎn)義的用戶輸入內(nèi)容直接用作變量。此時，只要在sql修改句子的中間，如添加drop、delete等待關(guān)鍵詞，執(zhí)行后果不堪設(shè)想。

說到這里，我們應(yīng)該如何處理這種情況？三個方面：

過濾用戶輸入?yún)?shù)中的特殊字符，降低風(fēng)險。

2.禁止通過字符串拼接sql對于句子，應(yīng)嚴(yán)格使用參數(shù)綁定來傳輸參數(shù)。

3.合理利用數(shù)據(jù)庫框架提供的機(jī)制。Mybatis禁止使用提供的輸入?yún)?shù)#{}${}后者相當(dāng)于字符串拼接sql，使用參數(shù)句。

綜上所述，要正確使用參數(shù)綁定sql變量。

XSS

XSS：跨站腳本攻擊，Cross-SiteScripting，前端css避免重名，簡稱XSS，是指通過技術(shù)手段向正常用戶要求HTML將惡意腳本插入頁面執(zhí)行。

這種攻擊主要用于竊取和破壞信息。比如2011年微博XSS攻擊者在微博發(fā)布功能中使用了攻擊事件action-data有效過濾漏洞，發(fā)布微博信息時帶入攻擊腳本URL，惡意腳本會加載惡意腳本，導(dǎo)致大量用戶受到攻擊。

關(guān)于防范XSS上面，框架提供的工具類主要用于過濾或轉(zhuǎn)換用戶輸入的數(shù)據(jù)HtmlUtil。此外，在瀏覽器顯示數(shù)據(jù)時，前端應(yīng)安全使用API顯示數(shù)據(jù)。例如使用innerText而不是innerHTML。

CSRF

偽造跨站請求，冒充用戶在用戶不知情的情況下發(fā)送請求，目前已登錄web網(wǎng)站上執(zhí)行惡意操作，比如惡意發(fā)帖，修改密碼等。

一般來說，和XSS前者是黑客竊取用戶瀏覽器中的登錄信息，冒充用戶執(zhí)行操作。后者是正常用戶要求的HTML將惡意代碼放入中，

XSS問題是用戶數(shù)據(jù)沒有轉(zhuǎn)換，過濾；CSRF問題出現(xiàn)在HTTP接口不能防止不守信用的調(diào)用。

防范CSRF漏洞方式：

1、CSRFToken驗(yàn)證，使用瀏覽器的同源限制HTTP接口執(zhí)行前驗(yàn)證Cookie中的Token，驗(yàn)證通過后，請求將繼續(xù)執(zhí)行。

2.人機(jī)交互，如短信驗(yàn)證碼、界面滑塊等。

會上也有一個想法，在人機(jī)驗(yàn)證方面，如果不使用驗(yàn)證碼，使用界面上的滑塊，滑塊仍然是第三方。APP如果第三方有問題，如果使用這種人機(jī)驗(yàn)證方法進(jìn)行注冊和登錄，那么他們自己APP它完全崩潰了，發(fā)布后APP什么也改不了。

騰佑科技IDC提供香港服務(wù)器、美國服務(wù)器等全球海外服務(wù)器租賃托管，是智能家居、安全、視頻、物聯(lián)網(wǎng)、區(qū)域鏈、直銷、流媒體、外貿(mào)、游戲、電子商務(wù)等服務(wù)器解決方案的首選品牌。騰友科技提出了不同行業(yè)的數(shù)據(jù)中心安全解決方案，以保護(hù)行業(yè)企業(yè)的客戶信息和數(shù)據(jù)安全。