看好你的门-保护数据存储区(3)-XPath注入防御
来源:互联网 发布:阿里云服务器在哪买 编辑:程序博客网 时间:2024/04/30 04:07
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。
1、常用的防御对策
XPath注入攻击的防御和SQL注入攻击的防御比较接近:
(1)数据提交到服务器上端,在服务端正式处理这批数据之前,对提交数据的合法性进行验证(不仅仅要在客户端进行验证,在服务端也要同步进行验证)。
(2)检查提交的数据是否包含特殊字符,如果发现敏感字符,直接拒绝,而不是尝试对敏感字符进行加工和处理;
(3)对于系统出现的错误信息,屏蔽系统本身的出错信息,在服务端进行输出。
(4)参数化XPath查询,将需要构建的XPath查询表达式,以变量的形式表示,变量不是可以执行的脚本。如下代码可以通过创建保存查询的外部文件使查询参数化:
declare variable
//users/user[@loginID=
(5)通过MD5、SSL等加密算法,对于数据敏感信息和在数据传输过程中加密,即使某些非法用户通过非法手法获取数据包,看到的也是加密后的信息。
2、一个变通的防御对策
当服务器接收到客户端提交过来的数据时,首先检测其客户端的IP是否有案底,如果有非法攻击的案底,直接输出出错信息;如果没有案底则验证是否包含非法字符,如果用户是首次提交非法信息,则输出出错信息,如果用户是第二次提交,则输出出错信息并将该客户端的IP作为案底进行记录,在一天或者两天之内禁止该用户访问,如果信息合法,则将用户信息提交给参数变量,执行安全的查询,输出结果。
对于有案底的IP,隔一定时间后自动处理,这样可以防止是因为用户误操作而造成合法用户无法访问,和某些用户恶意的多次入侵的企图。
- 看好你的门-保护数据存储区(3)-XPath注入防御
- 看好你的门-保护数据存储区(1)-SQL注入防御
- 看好你的门-保护数据存储区(4)-LADP注入防御
- 看好你的门-攻击数据存储区(4)-XPath注入攻击
- 看好你的门-保护数据存储区(2)-查看PreparedStatement最终执行的SQL
- 看好你的门-攻击数据存储区(2)-SQL注入常用的一些技巧
- 看好你的门-攻击数据存储区(5)-LDAP注入攻击
- 看好你的门-攻击数据存储区(6)-LDAP盲注入
- 看好你的门-常用WEB安全术语(3)-XPath注入
- 看好你的门-攻击数据存储区(3)-攻击PreparedStatement的执行
- 看好你的门-攻击服务端(3)-SOAP注入攻击
- 看好你的门-攻击数据存储区(1)-SQL拼接被避开登陆
- XPATH 注入的介绍与代码防御
- XPATH 注入的介绍与代码防御
- 有关 XPATH 注入的介绍与代码防御
- 看好你的门-XSS攻击(3)-利用存储型XSS漏洞 进行面攻击
- 看好你的门-客户端传数据(3)-不安全的http信息头
- 看好你的门-客户端传数据(3)附录-http信息头说明
- 欢迎使用CSDN-markdown编辑器
- C和指针读后笔记
- BNU 13288 Bi-shoe and Phi-shoe(欧拉函数)
- Kernel Parameters
- Android活动生命周期
- 看好你的门-保护数据存储区(3)-XPath注入防御
- scrollview 和listview共存问题
- 【数据结构与算法】二叉树的Java实现及特点总结
- 纯css实现超宽图片全屏居中(兼容淘宝店铺)
- Android 5.1: Unwrapping a new Lollipop update
- Ubuntu下使用iptux
- 算法导论9.3-8 找出已排序的2个数组X[1..n]和Y[1..n]的共2n个数的中位数
- iOS 中self和super如何理解?
- Git使用小贴士