常见web安全问题，SQL注入、XSS、CSRF，基本原理以及如何防御

1.SQL注入

原理:

1).SQL命令可查询、插入、更新、删除等，命令的串接。而以分号字元为不同命 令的区别。（原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式）

2).SQL命令对于传入的字符串参数是用单引号字元所包起来。（但连续2个单引 号字元，在SQL资料库中，则视为字串中的一个单引号字元）

3).SQL命令中，可以注入注解

预防:

1).在设计应用程序时，完全使用参数化查询（Parameterized Query）来设计数据 访问功能。

2).在组合SQL字符串时，先针对所传入的参数作字元取代（将单引号字元取代为 连续个单引号字元）。

3).如果使用php开发网页程序的话，亦可打开PHP的魔术引号（Magic quote）功 能（自动将所有的网页传入参数，将单引号字元取代为连续2个单引号字元）。

4).其他，使用其他更安全的方式连接SQL数据库。例如已修正过SQL注入问题的 数据库

5).连接组件，例如ASP.NET的SqlDataSource对象或是 LINQ to SQL。

使用SQL防注入系统。

2. XSS攻击

原理:

xss攻击可以分成两种类型：

1.非持久型xss攻击

非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击 要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本 被用户游览器执行，从而达到攻击目的。

2.持久型xss攻击

持久型xss攻击会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据

一直存在。下面来看一个利用持久型xss攻击获取session id的实例。

防范:

1.基于特征的防御

XSS漏洞和著名的SQL注入漏洞一样，都是利用了Web页面的编写不完善，所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难：不可能以单一特征来概括所有XSS攻击。

传统XSS防御多采用特征匹配方式，在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击，采用的模式匹配方法一般会需要对“JAVAscript”这个关键字进行检索，一旦发现提交信息中包含“JavaScript”，就认定为XSS攻击。这种检测方法的缺陷显而易见：骇客可以通过插入字符或完全编码的方式躲避检测：

1). 在javascript中加入多个tab键，得到

<IMG SRC="jav ascript:alert('XSS');">;

2). 在javascript中加入(空格)字符，得到

<IMG SRC="javascri pt:alert('XSS');">;

3). 在javascript中加入(回车)字符，得到

<IMG SRC="javasc

ript:alert('XSS');">;

4). 在javascript中的每个字符间加入回车换行符，得到

<IMG SRC="javascriprnt:alert('XSS');">

5). 对”javascript:alert(‘XSS’)”采用完全编码，得到

<IMGSRC=javascrip?74:alert('XSS')>

上述方法都可以很容易的躲避基于特征的检测。而除了会有大量的漏报外，基于特征的

还存在大量的误报可能：在上面的例子中，对上述某网站这样一个地址，由于包含了关键字“javascript”，也将会触发报警。

2.基于代码修改的防御

和SQL注入防御一样，XSS攻击也是利用了Web页面的编写疏忽，所以还有一种方法就是从Web应用开发的角度来避免：

对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascript)，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。

3. CSRF攻击

原理:

CSRF攻击原理比较简单，假设Web A为存在CSRF漏洞的网站，Web B为攻 击者构建的恶意网站，User C为Web A网站的合法用户。

1.用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；

2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用 户登录网站A成功，可以正常发送请求到网站A；

3.用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；

4.网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访 问第三方站点A；

5.浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的 情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是 由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致 来自网站B的恶意代码被执行。

防范:

1.检查Referer字段

HTTP头中有一个Referer字段，这个字段用以标明请求来源于哪个地址。在 处理敏感数据请求时，通常来说，Referer字段应和请求的地址位于同一域 名下。以上文银行操作为例，Referer字段地址通常应该是转账按钮所在的 网页地址，应该也位于www.examplebank.com之下。而如果是CSRF攻击传 来的请求，Referer字段会是包含恶意网址的地址，不会位于 www.examplebank.com之下，这时候服务器就能识别出恶意的访问。

2.添加校验token

由于CSRF的本质在于攻击者欺骗用户去访问自己设置的地址，所以如果要求 在访问敏感数据请求时，要求用户浏览器提供不保存在cookie中，并且攻击 者无法伪造的数据作为校验，那么攻击者就无法再执行CSRF攻击。这种数据 通常是表单中的一个数据项。服务器将其生成并附加在表单中，其内容是一个 伪乱数。当客户端通过表单提交请求时，这个伪乱数也一并提交上去以供校验。 正常的访问时，客户端浏览器能够正确得到并传回这个伪乱数，而通过CSRF 传来的欺骗性攻击中，攻击者无从事先得知这个伪乱数的值，服务器端就会因 为校验token的值为空或者错误，拒绝这个可疑请求。