1. SQL注入

1.1 概念：

通過 SQL 命令插入到 web 表單遞交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。

1.2 原理：

SQL注射能使攻擊者繞過認(rèn)證機制，完全控制遠(yuǎn)程服務(wù)器上的數(shù)據(jù)庫。 目前，大多數(shù)Web應(yīng)用都使用SQL數(shù)據(jù)庫來存放應(yīng)用程序的數(shù)據(jù)。SQL語法允許數(shù)據(jù)庫命令和用戶數(shù)據(jù)混雜在一起的。，用戶數(shù)據(jù)有可能被解釋成命令， 這樣的話，遠(yuǎn)程用戶就不僅能向Web應(yīng)用輸入數(shù)據(jù)，而且還可以在數(shù)據(jù)庫上執(zhí)行任意命令了。

1.3 方式：

1.3.1 直接注入式攻擊法

直接將代碼插入到與SQL命令串聯(lián)在一起并使得其以執(zhí)行的用戶輸入變量。

1.3.2 間接的攻擊法

將惡意代碼注入要在表中存儲或者作為原書據(jù)存儲的字符串。在存儲的字符串中會連接到一個動態(tài)的SQL命令中，以執(zhí)行一些惡意的SQL代碼。注入過程的工作方式是提前終止文本字符串，然后追加一個新的命令。如以直接注入式攻擊為例。就是在用戶輸入變量的時候，先用一個分號結(jié)束當(dāng)前的語句。然后再插入一個惡意SQL語句即可。由于插入的命令可能在執(zhí)行前追加其他字符串，因此攻擊者常常用注釋標(biāo)記“—”來終止注入的字符串。執(zhí)行時，系統(tǒng)會認(rèn)為此后語句位注釋，故后續(xù)的文本將被忽略，不背編譯與執(zhí)行。

1.4 預(yù)防;

1.4.1 采用預(yù)編譯語句集，它內(nèi)置了處理SQL注入的能力，只要使用它的setXXX方法傳值即可。

原理：sql注入只對sql語句的準(zhǔn)備(編譯)過程有破壞作用，而PreparedStatement已經(jīng)準(zhǔn)備好了,執(zhí)行階段只是把輸入串作為數(shù)據(jù)處理,而不再對sql語句進(jìn)行解析,準(zhǔn)備,因此也就避免了sql注入問題。

優(yōu)點：
a. 代碼的可讀性和可維護(hù)性；
b. PreparedStatement盡最大可能提高性能；
c. 最重要的一點是極大地提高了安全性。

1.4.2 使用正則表達(dá)式過濾傳入的參數(shù)

1.4.3 字符串過濾

1.4.4 jsp中調(diào)用該函數(shù)檢查是否包函非法字符

1.4.5 JSP頁面添加客戶端判斷代碼

2. XSS 攻擊

2.1 概念：

XSS 是一種經(jīng)常出現(xiàn)在 web 應(yīng)用中的計算機安全漏洞。它允許惡意 web 用戶將代碼植入到提供給其它用戶使用的頁面中，比如這些代碼包括 HTML 代碼和客戶端腳本，攻擊者利用 XSS 漏洞控制訪問控制。

2.2 類型：

2.2.1 本地利用漏洞——存在于頁面中客戶端腳本自身。

2.2.2 反射式漏洞—— web 客戶端使用 server 端腳本生成頁面為用戶提供數(shù)據(jù)時，如果未經(jīng)驗證的用戶數(shù)據(jù)被包含在頁面中而未經(jīng) HTML 實體編碼，客戶端代碼能夠注入到動態(tài)頁面中。

2.2.3 存儲式漏洞——將攻擊腳本上傳到 web 服務(wù)器上，使得所有訪問該頁面的用戶都面臨信息泄露的可能。

2.3 預(yù)防;

2.3.1 過濾特殊字符（將用戶提交內(nèi)容進(jìn)行過濾）；

2.3.2 使用 HTTP 頭指定類型。