文章来源:LemonSec
前言
朋友说:听说你做了个网站
我说:对啊,赶紧成为我的用户啦
朋友说:好啊,你知道sql注入、xss攻击吗
我说:不知道
朋友明天跟我说,哇,管理员账户就是好,有好多权限,真香
我说:你怎么能登录我管理员账户???
朋友说:你都不知道sql注入、xss攻击,那你肯定没做这些,我利用sql注入,知道管理员账户就可以登录进去啦
吓得我赶紧去做一下相关工作,还好朋友告知
下面详细了解sql注入、xss攻击及解决
四个方面
1. 什么是sql注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。是最原始、最简单的攻击,从有了web2.0就有了sql注入攻击。
2. sql注入例子
用户登录,我们需要去查询用户表(users),对比用户名(username)和密码(password)
SQL语句:
// 正常select * from users WHERE username="zhangsan" and password="524abb53cce35"// sql注入 用户名写入:zhangsan'--select * from users WHERE username='zhangsan'-- ' and password='5245'
上面两条sql语句都能查询到用户的存在,并且第二条语句中密码校验的语句已经被注销了,那么这个时候如果别人知道你的用户名就能登录你的账号,这样子岂不是很危险??????
我们来看下执行的sql语句,果然是 -- 后面被注释了~~~
select id, username, realname from users where username='zhangsan '-- ' and password='696'不必慌,我们来看一下之前的db/mysql.js文件,
const mysql = require('mysql')const { MYSQL_CONF } = require('../conf/db')// 创建链接对象const con = mysql.createConnection(MYSQL_CONF)// 开始链接con.connect()// 统一执行 sql 的函数function exec(sql) {const promise = new Promise((resolve, reject) => {con.query(sql, (err, result) => {if (err) {reject(err)return}resolve(result)})})return promise}module.exports = {exec,escape: mysql.escape // 防止sql注入 编码特殊字符}
看到这段关键代码了吗???
escape: mysql.escape // 防止sql注入 编码特殊字符
我们来改动一下之前的controller/users.js login方法:
const { exec, escape } = require('../db/mysql')const { genPassword } = require('../utils/cryp')const register = async (username, password) => {...}const userNameFilter = async (username) => {...}const login = async (username, password) => {username = escape(username) // 格式化 预防sql注入password = genPassword(password) // 生成加密密码password = escape(password) // 格式化 预防sql注入const sql = `select id, username, realname from users where username=${username} and password=${password}`// console.log('sql is', sql)const rows = await exec(sql)return rows[0] || ''}const userInfo = async (id) => {...}module.exports = {login,register,userNameFilter,userInfo}
我们再来登录一下,发现登录果然失败了
格式化之后执行的sql语句:
select id, username, realname from users where username='zhangsan \'-- ' and password='6996' 从上面对比我们可以知道,escape 就是对一下能对sql语句有影响的特殊字符进行格式化,预防拼接sql语句。
所以为了预防万一,我们需要把能拼接成sql语句的变量都要加上escape!
3. 什么是xss攻击
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
攻击方式:
盗用cookie,获取敏感信息。
利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。
4. nodejs怎么来防范XSS攻击:
首页我们安装一个xss依赖
npm install xss --save-dev下来我们来举一个简单的例子吧!看注释!!
const xss = require('xss') // 引入xssconst { exec } = require('../db/mysql')const newBlog = async (blogData = {}) => {// blogData 是一个博客对象,包含 title content author 属性const title = xss(blogData.title) // 防范xss攻击const content = xss(blogData.content) // 防范xss攻击const author = blogData.authorconst createTime = Date.now()const sql = `insert into blogs (title, content, createtime, author)values ('${title}', '${content}', ${createTime}, '${author}');`const insertData = await exec(sql)return {id: insertData.insertId}}module.exports = {getList,getDetail,newBlog}
简明扼要的说一下:防范xss攻击的方式就是把特殊字符编码
什么是特殊字符呢?
用户输入的数据进行HTML Entity编码, 也就是对<script>、<a>等标签的< >进行转换,然后再保存到后台数据库。
例如:
在 input 输入框 恶意输入 <script> document.cookie </script>, 就会被转换为下面的语句并存入数据库:
<script> document.cookie </script>,已达到无法执行 <script> 的目的!!!!
最后
sql注入:窃取数据库内容
XSS攻击:窃取前端的cookie等敏感信息
密码加密:保障用户信息安全(重要)
DDOS攻击:需要硬件和服务来支持(需要OP支持)
原文地址juejin.cn/post/684490…https://juejin.cn/post/6844904179085869063
参考
第五章:nodejs koa2 mysql redis 全栈开发--安全(sql注入,xss攻击) :blog.csdn.net/u012878818/…
侵权请私聊公众号删文
如有侵权请联系:admin#unsafe.sh