常见的Web攻击方式:SQL注入、XSS跨站脚本攻击、CSRF跨站点请求伪造

最新推荐文章于 2025-09-28 16:41:42 发布
原创 最新推荐文章于 2025-09-28 16:41:42 发布 · 7.4k 阅读 · 39 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#常见Web攻击 #XSS跨站脚本攻击 #跨站点请求伪造 #CSRF防范

本文详细介绍了常见的Web攻击,包括SQL注入、XSS跨站脚本攻击和CSRF跨站点请求伪造,阐述了它们的原理并提供了相应的防御措施。SQL注入可通过输入恶意SQL命令欺骗服务器,XSS攻击则利用用户输入在浏览器执行恶意脚本,而CSRF攻击伪装合法请求执行未经授权的操作。防御策略包括输入验证、防止动态SQL、设置HTTP Only Cookie、使用CSRF Token等。

常见的Web攻击有SQL注入、XSS跨站脚本攻击、跨站点请求伪造共三类,下面分别简单介绍。

1 SQL注入

1.1 原理

       SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入漏洞到底是以怎样的形式进行攻击的呢,接下来将以一个简单的实例来进行介绍。

       比如在一个登陆界面,有两个文本框分别用来输入用户名和密码,当用户点了登录按钮的时候,会对输入的用户名和密码进行验证。

在这里插入图片描述

验证的SQL语句可以简单理解为:select * from student where username=‘输入的用户名’ and password=‘输入的密码’ ,如果能够检索到数据,说明验证通过,否则验证不通过。

如果用户在用户名文本框中输入 ’ or ‘1’ = ‘1’ or ‘1’ = ‘1,则验证的SQL语句变成:select * from student where username=" or ‘1’ = ‘1’ or ‘1’ = ‘1’ and password= "
如果用户在密码文本框中输入 1 ’ or ‘1 ‘=’ 1,则验证的SQL语句变成:select * from student where username=’’ and password=‘1’ or ‘1’=‘1’
以上两个SQL语句的where条件永远是成立的,所以验证永远是有效的。

另外,如果在用户名文本框中输入 tom’ ; drop table student- -,则SQL语句变成:

select * from student where username='tom' ; 
drop table student--' and password=''

这样就变成两条SQL语句,执行完查询操作,接着直接把student表给删除了(双连接符表示注释)。

1.2 防御措施

       通过上面的描述我们就很清楚的明白,黑客如果发现平台里有SQL注入漏洞,那么我们的平台就会轻而易举的被攻破了。那么我们如何写代码,才能实现对SQL注入攻击进行更好的防御呢。下面将分别介绍下防御措施:

1、永远不要信任用户的输入

对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双“-”进行转换等;具体表现如下:

①输入为数字参数则必须进行数字类型判断

如采用正则表达式:String characterPattern = “^\d+$”;

②输入为字符串参数则必须进行字符型合法性判断

如采用正则表达式:String char

最低0.47元/天 解锁文章
网络安全-渗透测试-漏洞利用工具集-包含常见Web应用漏洞系统漏洞中间件漏洞的PoC脚本集合涵盖SQL注入XSS跨站脚本CSRF跨站请求伪造文件上传漏洞命令执行漏洞.zip
08-11
卓晴网络安全_渗透测试_漏洞利用工具集_包含常见Web应用漏洞系统漏洞中间件漏洞的PoC脚本集合涵盖SQL注入XSS跨站脚本CSRF跨站请求伪造文件上传漏洞命令执行漏洞.zip
WebGoat是一个开源的Web安全教育平台,旨在通过实践课程帮助用户理解并防御SQL注入XSS跨站脚本攻击)、CSRF(跨
09-12
webgoat通关WebGoat是一个开源的Web安全教育平台,旨在通过实践课程帮助用户理解并防御SQL注入XSS跨站脚本攻击)、CSRF跨站请求伪造)等常见Web安全漏洞。以下是WebGoat通关的一般步骤和建议: 一、注册与...
SQL 注入XSS 攻击CSRF 攻击
weixin_33910434的博客
09-22 1266
SQL 注入XSS 攻击CSRF 攻击 SQL 注入 什么是 SQL 注入 SQL 注入,顾名思义就是通过注入 SQL 命令来进行攻击,更确切地说攻击者把 SQL 命令插入到 web 表单或请求参数的查询字符串里面提交给服务器,从而让服务器执行编写的恶意的 SQL 命令。 对于 web 开发者来说,SQL 注入已然是非常熟悉的,而且 SQL 注入已经生存了 10 多...
web安全及防护(XSSCSRFsql注入)
田兴的博客
10-26 2670
sql注入原理 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 总的来说有以下几: 1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息明文存放,请加密或者hash掉密码和敏感的信
XSS跨站脚本攻击)详解【场景、影响、检测、防护】
最新发布
NeoLshu的博客
09-28 1256
本文全面解析了XSS跨站脚本攻击)的原理、分类、示例及防护策略。XSS攻击通过注入恶意脚本,利用浏览器信任执行窃取凭证、篡改页面等操作。分为反射型、存储型和DOM型三种类型,攻击后果严重,可导致会话劫持、数据泄露等风险。文章提供了易受攻击的代码示例及修复方案,强调根据不同输出上下文进行编码(如HTML、JavaScript转义),并推荐使用白名单过滤和安全的DOM操作API(如textContent)。检测方法包括手工测试、黑盒扫描和代码审计。防护核心在于输入验证、输出编码和严格的内容安全策略(CSP)。
SQL注入,跨站脚本,跨站请求伪造,傻傻分不清楚
伤心的辣条
08-18 502
安全测试常见SQL注入跨站脚本攻击以及跨站请求伪造这三个经常有人分不清楚。今天就澄清一下概念,并举例说明这三个分别是什么。
安全测试XSSCSRFSQL注入、DDoS攻击
zhanghs11的专栏
06-02 1185
XSS XSS(Cross Site Script):跨站脚本攻击。恶意攻击者在网页中嵌入恶意脚本,当用户打开 网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端cookies、用户名密码、下载执行木马程序,甚至是获取客户端admin权限等。 例如:输入框提交时,通过特殊字符自动嵌入攻击者脚本 防范措施: 对输入的字符进行HTML转义处理,将其中的“尖括号”,“单引号”,“引号”等特...
安全漏洞: XSS跨站脚本攻击Sql注入攻击
阿强的博客
04-27 3138
一 、 XSS介绍 XSS跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSSXSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。 二、XSS攻击目的及原理 由于对XSS攻击...
互联网并发与安全系列教程(05) - 常见Web安全漏洞(XSS攻击SQL注入、防盗链)
阿甘兄
11-19 804
1. XSS攻击 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 <script>alert('sss')</script> <script>window.location.href='http://www.xxx.com';</script&g...
基于白帽子讲Web安全的Web安全学习项目_涵盖XSS跨站脚本攻击CSRF跨站请求伪造SQL注入文件上传漏洞认证与会话管理访问控制加密与解密安全开发流程漏洞挖掘.zip
09-08
基于白帽子讲Web安全的Web安全学习项目_涵盖XSS跨站脚本攻击CSRF跨站请求伪造SQL注入文件上传漏洞认证与会话管理访问控制加密与解密安全开发流程漏洞挖掘.zip
Web攻防之XSS,CSRF,SQL注入的简单介绍
01-10 466
摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见SQL注入跨站脚本攻击(XSS),跨站请求伪造CSRF攻击的产生原理,介绍相应的防范方法。 关键字:SQL注入XSSCSRF 1.SQL注入 所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的...
SQL注入技术和跨站脚本攻击的检测
12-14
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会击其中的链接。
安全测试员必知!5大常见Web安全漏洞及测试方法归纳!
cky8792的博客
09-20 1699
一般来说,版本功能测试完成,对应的用例也实现了自动化,性能、兼容、稳定性测试也完成了以后,我们就需要考虑到系统的安全问题,特别是涉及到交易、支付、用户账户信息的模块,安全漏洞会带来极高的风险。 一、...
php sqlxss,php – 除了SQL注入XSS攻击之外还有什么我需要担心的吗?
weixin_28993425的博客
03-22 141
我正在完成我的第一个“真正的”PHP应用程序,我正在努力确保它是安全的.我有害怕,因为我不是一个“专家”PHP程序员,我可能会遗漏一些巨大的东西,所以我想给你一些关于我的应用程序的信息,希望你能告诉我这是不是案件.所以我们走了:>我正在使用CMS来处理用户身份验证,所以我没有必要担心这一.>在开始工作后不久发现PDO在我的应用程序中,我将所有代码移植到使用准备好的PDO的陈述.&g...
带你理解什么是xss攻击sql注入攻击csrf攻击防范措施
南余.的博客
07-06 8721
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSSCSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。这篇文章会介绍一些常见的安全问题及如何防范的内容,在当下其实安全问题越来越重要,已经逐渐成为前端开发必备的技能了。
除了CSRF,你还知道哪些其它的攻击方式吗?
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
06-02 325
击上方三分钟学前端,关注公众号回复交流,加入前端编程面试算法每日一题群面试官也在看的前端面试资料我所了解的,除了 CSRF ,还有:XSS 攻击SQL 注入攻击DDoS 攻击上传文件漏...
网络安全中常见攻击方式SQL注入XSS攻击CSRF攻击、网页木马、文件包含漏洞攻击、目录遍历攻击、CC攻击、DOS攻击
mogexiuluo的博客
02-21 3430
文章目录 SQL注入 XSS攻击 CSRF攻击 网页木马 文件包含漏洞攻击 目录遍历攻击 CC攻击 DOS攻击 DOS攻击和CC攻击的区别 SQL注入 SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 个人理解:用户通过浏览器访问网站,基本上很多的网站的数据都是保留在数据库中的,客户通过输入特定的数据特征利用网站开发者设计好的SQL查询语句进行对数据库中的数据进行查询,从而返回用.
Web网站常见的几种攻击方式XssCSRF、Http Heads
月光秦城
06-21 1640
XSS跨站脚本攻击 跨站脚本攻击XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用 户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息,以及造成其它类型的攻击,例如CSRF攻击 常见解决办法:确保输出到HTML页面的数据以HTML的方式被转义 出错...
XSS跨站脚本攻击CSRF跨站请求伪造SQL注入的介绍
yiyiyuebing的博客
02-25 1561
XSS跨站脚本攻击: 答:XSS (Cross-Site Scripting)跨站脚本攻击是一种常见的安全漏洞,恶意攻击者在用户提交的数据中加入一些代码,将代码嵌入到了Web页面中,从而可以盗取用户资料,控制用户行为或者破坏页面结构和样式等。为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSS。 最简单的就是当我们提交一个查询后弹出一个alert页面,却无论如何都关不掉,这就是...
SQL注入XSS跨站脚本、CSRF跨站请求伪造
08-24
<think>嗯,用户这次想了解SQL注入XSSCSRF三大Web安全漏洞的原理和防范方法。从用户引用的资料来看,ta已经对CSRFXSS有基本认知(引用1/2/4/5),还提到想系统学习常见漏洞(引用3)。不过用户引用的资料有些混乱,需要帮ta梳理核心要。 用户可能是刚接触Web安全的开发者,需要实用指导。上次讨论DDOS和缓冲区溢出时采用了原理+防护的对比结构效果不错,这次可以延续类似框架,但需更突出Web特性。特别注意用户引用的CSRF说明(引用2)提到“比XSS更危险”这个观要验证——实际上XSS危害范围更大,但CSRF更隐蔽。 三大漏洞的关联性值得强调:SQL注入XSS都属“注入类”漏洞,而CSRF本质是身份验证漏洞。防护方面,预编译语句、输入输出过滤、CSRF令牌是各自的核心手段,但现代框架已内置这些防护。 需要提醒用户注意两个易混淆:1)存储型XSS和反射型XSS的危害差异 2)CSRF攻击中“用户必须登录”这个前提条件。在防护方案里,除了常规方案,补充SDL(安全开发生命周期)和WAF部署建议会更全面。 最后生成的问题要引导用户思考纵深防御:比如同源策略如何同时影响XSSCSRF防护,为什么参数化查询能通杀所有SQL注入变种。案例部分用电商场景串联三种漏洞会很直观。</think>以下是SQL注入XSS跨站脚本、CSRF跨站请求伪造三大Web安全漏洞的原理与防范方法详解: --- ### **一、SQL注入攻击** #### **原理** - **本质**:攻击者通过构造**恶意SQL语句**插入用户输入字段,篡改数据库查询逻辑[^3]。 - **危害链**: ```mermaid graph LR A[用户输入恶意字符串] --> B{未过滤的SQL查询} B -->|拼接恶意代码| C[数据库执行非法操作] C --> D[数据泄露/篡改] C --> E[服务器被控制] ``` - **经典案例**: ```sql -- 原始查询: SELECT * FROM users WHERE username = '[输入]' AND password = 'xxx' -- 攻击输入: ' OR 1=1 -- -- 最终查询(绕过验证): SELECT * FROM users WHERE username = '' OR 1=1 -- ' AND password = 'xxx' ``` #### **防护方法** 1. **参数化查询(预编译语句)** - 分离SQL指令与数据: ```python # Python示例(使用SQLite) cursor.execute("SELECT * FROM users WHERE username = ?", (user_input,)) ``` - *效果*:杜绝99%的SQL注入[^3]。 2. **最小权限原则** - 数据库账户仅分配必要权限(禁用`DROP`、`FILE`等高危操作)。 3. **输入过滤与白名单验证** - 限制输入格式(如邮箱正则匹配): $$ \text{email\_regex} = ^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$$ $$ --- ### **二、XSS跨站脚本攻击** #### **原理** - **本质**:攻击者在网页中注入**恶意脚本**,当用户浏览时执行该脚本[^5]。 - **攻击类型对比**: | 类型 | 存储位置 | 触发方式 | |---------------|-------------------|------------------------| | **存储型XSS** | 数据库/服务器 | 所有访问受影响页面的用户 | | **反射型XSS** | URL参数 | 击恶意链接的用户 | | **DOM型XSS** | 浏览器DOM树 | 前端脚本解析URL时触发 | - **案例**: ```html <!-- 用户输入未过滤 --> <div>用户评论:<script>stealCookie()</script></div> ``` #### **防护方法** 1. **输出编码** - 根据输出位置采用不同编码: ```js // HTML上下文 function encodeHTML(str) { return str.replace(/&/g, '&') .replace(/</g, '<') .replace(/>/g, '>'); } ``` 2. **CSP(内容安全策略)** - HTTP头部限制脚本来源: ```http Content-Security-Policy: default-src 'self'; script-src https://trusted.cdn.com ``` 3. **HttpOnly Cookie** - 阻止JavaScript读取敏感Cookie: ```http Set-Cookie: sessionID=xxx; HttpOnly; Secure ``` --- ### **三、CSRF跨站请求伪造** #### **原理** - **本质**:诱导已认证用户访问恶意页面,**伪造其身份**发起非意愿请求[^1][^2]。 - **攻击流程**: ```mermaid graph TB A[用户登录银行网站] --> B[本地存储Cookie] C[用户访问恶意页面] --> D{页面自动发送转账请求} D -->|携带用户Cookie| E[银行执行转账] ``` #### **防护方法** 1. **CSRF Token验证** - 每次会话生成随机Token,提交时校验: ```html <form action="/transfer"> <input type="hidden" name="csrf_token" value="RANDOM_STRING"> <!-- 其他字段 --> </form> ``` 2. **同源策略(SameSite Cookie)** - 限制第三方网站携带Cookie: ```http Set-Cookie: sessionID=xxx; SameSite=Strict; ``` 3. **关键操作二次验证** - 敏感操作(如转账)需重新输入密码或短信验证。 --- ### **四、综合防御矩阵** | 漏洞 | 核心防护措施 | 辅助方案 | |-------------|---------------------------------------|---------------------------| | **SQL注入** | 参数化查询 + 最小权限 | WAF规则库 + 输入白名单 | | **XSS** | 输出编码 + CSP策略 | HttpOnly Cookie + 富文本过滤 | | **CSRF** | CSRF Token + SameSite Cookie | 操作二次验证 + Referer检查 | > **案例**:电商平台安全加固 > 1. 商品搜索框:参数化查询防SQL注入 > 2. 用户评论区:HTML实体编码防XSS > 3. 支付接口:CSRF Token + SameSite=Strict --- ### **五、防护效果对比** | 措施 | SQL注入阻断率 | XSS阻断率 | CSRF阻断率 | |--------------------|---------------|-----------|------------| | 参数化查询/预编译 | >99% | - | - | | 输出编码 | - | 85% | - | | CSRF Token | - | - | >95% | | CSP策略 | - | +15% | - | ---
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值