亚洲天堂中文字幕一区二区|亚洲精品无播放器在线播放网站|亚洲精品熟女国产国产老熟女|亚洲欧美在线人成最新按摩

        

        • <form id="etzky"></form>
          
<td id="etzky"><tr id="etzky"></tr></td>
          


          
    
          
        
        
        
    
          

          

          
    
    
          
        
          
            
            
          HTML5安全風(fēng)險之WebSQL攻擊詳解
          
            
          
                時間:2021-01-10 19:23:30 
                
                電腦安全
                我要投稿
            
          
            
            
          
                
                
          HTML5安全風(fēng)險之WebSQL攻擊詳解
          
                
            數(shù)據(jù)庫安全一直是后端人員廣泛關(guān)注和需要預(yù)防的問題。但是自從HTML5引入本地數(shù)據(jù)庫和WebSQL之后,前端開發(fā)對于數(shù)據(jù)庫的安全也必須要有所了解和警惕。WebSQL的安全問題通常表現(xiàn)為兩個部分。我們一起來看看!
            一、WebSQL安全風(fēng)險簡介
            數(shù)據(jù)庫安全一直是后端人員廣泛關(guān)注和需要預(yù)防的問題。但是自從HTML5引入本地數(shù)據(jù)庫和WebSQL之后,前端開發(fā)對于數(shù)據(jù)庫的安全也必須要有所了解和警惕。WebSQL的安全問題通常表現(xiàn)為兩個部分:
            第一種是SQL注入:和本地數(shù)據(jù)庫一樣,攻擊者可以通過SQL注入點來進(jìn)行數(shù)據(jù)庫攻擊。
            另外一方面,如果Web App有XSS漏洞,那么本地數(shù)據(jù)很容易泄漏,可以想想本地數(shù)據(jù)庫里存儲了用戶最近交易記錄或者私信的情況。
            二、WebSQL安全風(fēng)險詳析
            1、SQL注入
            例如我們有一個URL為http:/blog.csdn.net/hfahe?id=1,它接收了一個id參數(shù)來進(jìn)行本地數(shù)據(jù)庫查詢并輸出,對應(yīng)的SQL語句為“select name from user where id = 1”。
            但是針對這個簡單的SQL查詢,攻擊者可以構(gòu)造一個虛假的輸入數(shù)據(jù)“1 or 1 = 1”,那么我們的SQL語句將變?yōu)椤皊elect name from user where id = 1 or 1 = 1”。這就相當(dāng)糟糕了,因為1=1這個條件總是成立的,那么這條語句將遍歷數(shù)據(jù)庫user表里的所有記錄并進(jìn)行輸出。
            利用這種方式,攻擊者可以構(gòu)造多種攻擊的SQL語句,來操縱用戶的本地數(shù)據(jù)庫記錄。
            2、XSS與數(shù)據(jù)庫操縱
            在有XSS漏洞的情況下,攻擊者獲取本地數(shù)據(jù)需要如下幾個步驟:
            1)獲取JavaScript數(shù)據(jù)庫對象
            2)獲取SQLite上的表結(jié)構(gòu)
            3)獲取數(shù)據(jù)表名
            4)操作數(shù)據(jù)
            例如如下腳本完整的實現(xiàn)了上面的.步驟,我在Chrome控制臺里運(yùn)行即可得到用戶本地數(shù)據(jù)庫的表名,利用這個表名攻擊者可以用任何SQL語句來完成攻擊。
            三、防御之道
            針對WebSQL攻擊,我們有如下方法預(yù)防:
            1) 檢查輸入類型,過濾危險字符
            我們需要保證輸入類型符合預(yù)期,例如上面的id參數(shù)一定是數(shù)字類型;同時過濾掉危險的關(guān)鍵字和符號,像PHP里addslashes這個函數(shù)的作用一樣。
            2) 在SQL語句中使用參數(shù)形式
            SQL語句是可以用參數(shù)形式的,例如
            01.executeSql("SELECTname FROM stud WHERE id=" + input_id)
            這種字符串拼接的形式并不安全,可以換為
            executeSql("SELECTname FROM stud WHERE id=?“, [input_id]);)
            這樣能保證參數(shù)的輸入符合設(shè)定的類型。
            3)謹(jǐn)慎對待每一次SQL操作
            無論是select、modify、update或者,你編寫的任何一條SQL語句操作都有可能成為攻擊者的攻擊對象,造成重大損失,所以都必須要謹(jǐn)慎對待。
            4)不要存儲重要數(shù)據(jù)
            本地數(shù)據(jù)庫永遠(yuǎn)透明而不安全,重要的數(shù)據(jù)必須要存儲在服務(wù)器上,本地數(shù)據(jù)庫里沒有重要數(shù)據(jù)就不會對用戶造成重大損失。
            5)杜絕XSS漏洞
            以上就是WebSQL攻擊詳細(xì)介紹,希望對大家學(xué)習(xí)WebSQL攻擊有所幫助。
          

          【HTML5安全風(fēng)險之WebSQL攻擊詳解】相關(guān)文章:
          HTML5劫持攻擊安全風(fēng)險詳解01-14
          HTML5新標(biāo)簽攻擊安全攻防詳解01-14
          HTML5API攻擊安全風(fēng)險詳解01-14
          HTML5Web Worker攻擊安全風(fēng)險詳解01-14
          HTML5Web Storage攻擊安全風(fēng)險詳解01-14
          詳解DDoS攻擊原理的目標(biāo)導(dǎo)向02-14
          HTML5對安全的改進(jìn)01-13
          安全設(shè)置有效防止黑客攻擊07-15
          什么是 HTML508-11