SQL注入是一种代码注入技术，一般被应用于攻击web应用程序。它通过在web应用接口传入一些特殊参数字符，来欺骗应用服务器，执行恶意的SQL命令，以达到非法获取系统信息的目的。它目前是黑客对数据库进行攻击的最常用手段之一。

举个常见的业务场景：在web表单搜索框输入员工名字，然后后台查询出对应名字的员工。

这种场景下，一般都是前端页面把一个名字参数name传到后台，然后后台通过SQL把结果查询出来

因为SQL是直接拼接的，如果我们完全信任前端传的参数的话。假如前端传这么一个参数时，SQL就变成酱紫的啦。

这个SQL会把所有的员工信息全都查出来了，酱紫请求用户已经越权啦。请求者可以获取所有员工的信息，其他用户信息已经暴露了啦。

1.3.1 使用#{}而不是${}

在MyBatis中,使用而不是，可以很大程度防止sql注入。

1.3.2 不要暴露一些不必要的日志或者安全信息，比如避免直接响应一些sql异常信息。

如果SQL发生异常了，不要把这些信息暴露响应给用户，可以自定义异常进行响应

1.3.3 不相信任何外部输入参数，过滤参数中含有的一些数据库关键词关键词

可以加个参数校验过滤的方法，过滤等数据库关键词

1.3.4 适当的权限控制

在你查询信息时，先校验下当前用户是否有这个权限。比如说，实现代码的时候，可以让用户多传一个企业Id什么的，或者获取当前用户的session信息等，在查询前，先校验一下当前用户是否是这个企业下的等等，是的话才有这个查询员工的权限。

Json序列化就是将对象转换成Json格式的字符串，JSON反序列化就是Json串转换成对象

不安全的反序列化可以导致远程代码执行、重放攻击、注入攻击或特权升级攻击。之前Fastjson频繁爆出安全漏洞，我们现在分析fastjson 1.2.24版本的一个反序列化漏洞吧，这个漏洞比较常见的利用手法就是通过jndi注入的方式实现RCE。

我们先来看fastjson一个反序列化的简单例子：

运行结果：

加了属性就能调用对应对象的方法，而表示指定反序列化成某个类。如果我们能够找到一个类，而这个类的某个方法中通过我们的精心构造能够完成命令执行，即可达到攻击的目的啦。

 有兴趣的小伙伴，可以看下它的源代码

 简单设置了设置了dataSourceName的值，中有connect操作，connect方法中有典型的jndi的方法调用，参数刚好就是在中设置的dataSourceName。

因此，有漏洞的反序列代码实现如下即可：

漏洞复现的流程如下：

参考的代码来源这里哈，fastjson漏洞代码测试（https://github.com/earayu/fastjson_jndi_poc）

如何解决json反序列化漏洞问题

拿反射型举个例子吧，流程图如下：

 

 

 我们搞点简单代码样例吧，首先正常html页面如下：

4.这里的链接我写的是百度搜索页，实际上黑客攻击的时候，是引诱用户输入某些重要信息，然后跳到他们自己的服务器，以窃取用户提交的内容信息。

CSRF，跨站请求伪造（英语：Cross-site request forgery），简单点说就是，攻击者盗用了你的身份，以你的名义发送恶意请求。跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

解决办法一般就是：

文件下载漏洞，举个例子，使用 .. 等字符，使应用读取到指定目录之外的其他目录中的文件内容，从而可能读取到服务器的其他相关重要信息。

这个相对比较好理解，一般敏感信息包括密码、用户手机身份证信息、财务数据等等，由于web应用或者API未加密或者疏忽保护，导致这些数据极易被黑客利用。所以我们需要保护好用户的隐私数据，比如用户密码加密保存，请求采用https加密，重要第三方接口采用加签验签，服务端日志不打印敏感数据等等。

DDoS 攻击，英文全称是 Distributed Denial of Service，谷歌翻译过来就是“分布式拒绝服务”。一般来说是指攻击者对目标网站在较短的时间内发起大量请求，大规模消耗目标网站的主机资源，让它无法正常服务。在线游戏、互联网金融等领域是 DDoS 攻击的高发行业。

    以上就是本篇文章【10种常见安全漏洞浅析】的全部内容了，欢迎阅览 ！ 文章地址：http://dfvalve.xrbh.cn/news/9332.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 迅博思语资讯移动站 http://keant.xrbh.cn/ , 查看更多