SQL注入和XSS攻击

SQL注入： 所谓SQL注入，就是通过把SQL命令插入到提交的Web表单或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，导致数据库中的信息泄露或者更改。 防范： 1.永远不要信任用户的输入,将用户输入的数据当做一个参数处理： 使用参数化的形式，也就是将用户输入的东西以一个参数的形式执行，而不是将用户的输入直接嵌入到SQL语句中，用户输入就被限于一个参数。 2.避免提示详细的错误信息： 当用户输入错误的时候，避免提示一些详细的错误信息，因为黑客们可以利用这些消息，使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。 3. 加密处理： 将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。 4.确保数据库安全： 锁定你的数据库的安全，只给访问数据库的web应用功能所需的最低的权限，撤销不必要的公共许可，如果web应用不需要访问某些表，那么确认它没有访问这些表的权限。如果web应用只需要只读的权限，那么就禁止它对此表的 drop 、insert、update、delete 的权限，并确保数据库打了最新补丁。

##################################################################

XSS攻击（Cross Site Scripting）, 中文名为跨站脚本攻击，指的是将xss代码植入到提供给其它用户使用的页面中,从而达到盗取用户信息和做一些违法操作,比如这些代码包括HTML代码和客户端脚本： 是发生在目标用户的浏览器层面上的，当渲染DOM树的过程成发生了不在预期内执行的JS代码时，就发生了XSS攻击。 跨站脚本的重点不在‘跨站’上，而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段js代码。 1.一旦在DOM解析过程成出现不在预期内的改变（JS代码执行或样式大量变化时），就可能发生XSS攻击 2.XSS分为反射型XSS，存储型XSS和DOM XSS 3.反射型XSS是在将XSS代码放在URL中，将参数提交到服务器。服务器解析后响应，在响应结果中存在XSS代码，最终通过浏览器解析执行。 4.存储型XSS是将XSS代码存储到服务端（数据库、内存、文件系统等），在下次请求同一个页面时就不需要带上XSS代码了，而是从服务器读取。最典型的就是留言板XSS。用户提交了一条包含XSS代码的留言到数据库。当目标用户查询留言时，那些留言的内容会从服务器解析之后加载出来。浏览器发现有XSS代码，就当做正常的HTML和JS解析执行。XSS攻击就发生了。 5.DOM XSS攻击不同于反射型XSS和存储型XSS，DOM XSS代码不需要服务器端的解析响应的直接参与，而是通过浏览器端的DOM解析。这完全是客户端的事情。DOM XSS代码的攻击发生的可能在于我们编写JS代码造成的。我们知道eval语句有一个作用是将一段字符串转换为真正的JS语句，因此在JS中使用eval是很危险的事情，容易造成XSS攻击。避免使用eval语句

XSS的危害： 1.XSS危害有通过document.cookie盗取用户cookie 2.通过JS或CSS改变样式 3.流量劫持（通过访问某段具有window.kk定位到其他页面） 4.Dos攻击：利用合理的客户端请求来占用过多的服务器资源，从而使合法用户无法得到服务器响应。 5.利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作。 6.利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。

XSS的预防： 1.过滤危险的DOM节点。如具有执行脚本能力的script, 具有显示广告和色情图片的img, 具有改变样式的link, style, 具有内嵌页面的iframe, frame等元素节点。 2.过滤危险的属性节点。如事件, style, src, href等 3.对cookie设置httpOnly，对重要的cookie设置httpOnly,防止客户端通过document.cookie读取cookie。服务端可以设置此字段 5.对用户输入数据的处理，1.编码：不能对用户输入的内容都保持原样，对用户输入的数据进行字符实体编码 2.解码：原样显示内容的时候必须解码，不然显示不到内容了。3.过滤：把输入的一些不合法的东西都过滤掉，从而保证安全性。如移除用户上传的DOM属性，如onerror，移除用户上传的Style节点，iframe, script节点等。

受到xss攻击的网站事例： 1. 2011年6月新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送一些信息并关注一位名为hellosamy的用户，一个小时完成修复 2. 百度贴吧xss攻击事件 2014年3月六安吧等几十个贴吧中帖子不断转发，病毒循环发帖。并且导致吧务人员，和吧友被封禁

参考链接： https://www.cnblogs.com/unclekeith/p/7750681.html