1）SQL注入

定義：攻擊方提交一段數(shù)據(jù)庫查詢代碼，獲取他想知道的信息。

原因：

對于輸入檢查不充分，將用戶提交的非法數(shù)據(jù)當(dāng)作命令來執(zhí)行；
部分WEB應(yīng)用采用Jsp JavaBean或SSH框架，代碼中會有直接寫SQL（或HQL）語句，而有些SQL是用拼串實現(xiàn)的。

預(yù)防措施

• 嚴(yán)格限定參數(shù)類型，明確參數(shù)檢驗的邊界，必須在服務(wù)端執(zhí)行數(shù)據(jù)驗證
• 采用參數(shù)化查詢的方法（推薦）
• 內(nèi)置過濾系統(tǒng)（本質(zhì)是黑名單，很常見但是不推薦）
• 數(shù)據(jù)庫加固

2）跨站腳本漏洞（XSS）

定義：攻擊方往web頁面插入html代碼，在用戶瀏覽頁面時會執(zhí)行惡意目的，屬于被動攻擊。

分類：

持久型XSS（Persistent），與非持久型XSS相反，它是指通過提交惡意數(shù)據(jù)到服務(wù)器，通過Web應(yīng)用程序輸出惡意數(shù)據(jù)輸出到頁面，持久型XSS多出現(xiàn)在Web郵箱、BBS、社區(qū)等從數(shù)據(jù)庫讀出數(shù)據(jù)的正常頁面（比如BBS的某篇帖子中可能就含有惡意代碼）

非持久型XSS（Non-persistent），即反射型,它是指那些瀏覽器每次都要在參數(shù)中提交惡意數(shù)據(jù)才能觸發(fā)的跨站腳本漏洞。
預(yù)防措施

• 過濾：一般需多次過濾，例如<scrip<script>t>過濾掉<script>后還是<script>，且需要注意過濾次序。
• 輸入編碼：輸入編碼往往可以有全局的解決方案，從設(shè)計的角度來看，這是最佳的。
• 輸出編碼：

　　　　輸出編碼有助于開發(fā)者細(xì)粒度控制輸出，但也導(dǎo)致了工作量的增加。

　　　　輸出編碼可以解決輸入編碼無法處理的已入庫數(shù)據(jù)。

• 用戶安全加固：不輕信來源不明的url和自動登錄信息。

3）跨站請求偽造（XSRF）

定義：獲取客戶會話或cookies,模仿合理用戶，非法查看或變更用戶記錄和執(zhí)行操作。

原因：應(yīng)用程序的驗證方法不充分

預(yù)防措施

檢查http頭部：只接受本域請求不接受外域

使用一次性令牌：每次請求都帶上一個服務(wù)器生成的隨機(jī)數(shù)，由服務(wù)器進(jìn)行檢驗

使用檢驗圖片：圖片驗證很難被惡意程序識別

4）文件上傳漏洞

• 允許上傳可執(zhí)行文件
• 使用客戶端JS驗證上傳文件類型
• 使用黑名單限制上傳文件類型
• 文件名/存儲目錄名可自定義
• 文件名中特殊字符處理不當(dāng)

預(yù)防措施

首先編碼者需要對上傳頁面代碼嚴(yán)格把關(guān)，特別是在保存文件的時候，考察可能出現(xiàn)的異常字符，如../，..\，空字符等。

其次，對文件擴(kuò)展名檢查要采取“允許jpg,gif…”這樣的檢查，而不要采取“不允許asp…”這樣的檢查；

最好對上傳文件的目錄設(shè)置不可執(zhí)行，這可以通過web服務(wù)器配置加固實現(xiàn)。

?

原文鏈接：https://blog.csdn.net/sigmeta/article/details/80412866