博客
关于我
【DVWA1.10】Stored Cross Site Scripting (XSS)通关笔记
阅读量:744 次
发布时间:2019-03-22

本文共 999 字,大约阅读时间需要 3 分钟。

最佳实践 - 安全评估与防御机制优化

1. 隐蔽性测试 - 隐蔽型注入回应机制

在前面的分析中,针对三个不同难度级别的防护机制进行了深入测试,最终发现了一个关键的安全漏洞:尽管message字段经过了多重过滤处理,但name字段仅去除了部分脚本标签,存在潜在的XSS安全隐患。

2. 改进方案 - 输入长度扩展与有效性检查

  • 长度控制: 原本name字段的maxlength设置为10,不仅限制了用户输入的真实需求,也导致了潜在的剪切损害。扩展到maxlength="999"更有利于正常用户输入,而不会触发数据溢出预警。

  • 有效性检查: 在提交前对name字段进行过滤,确保仅允许字母、数字和某些允许字符(如-_),防止恶意输入破坏数据库结构。

3. 改进后的安全防护机制

  • message字段:继续使用mysqli_real_escape_stringhtmlspecialchars双重过滤,确保输入中的特殊字符不会导致SQL注入或 XSS攻击。

  • name字段:采用更精准的正则表达式/[^a-zA-Z0-9_-]/,过滤掉所有不符合要求的字符,确保输入的安全性。同时,继续使用mysqli_real_escape_string对输入数据进行最终处理。

4. 防护效果验证

通过手动注入测试,发现即便修改了maxlength和过滤规则,仍然可以通过<script><img>的原始HTML标签触发XSS攻击。这表明需要采取更为全面的防护措施,包括但不限于:

  • csrf token验证: 在提交数据前后增加AntiForgeryToken,防止跨站请求伪造攻击。

  • 数据验证: 利用JavaScript验证name字段的输入合法性,阻止恶意用户输入破坏数据库。

5. 整体架构优化建议

  • 数据库连接管理: 固体使用mysqli连接,而不是频繁打开关闭数据库连接,以减少资源消耗和潜在的连接泄漏风险。

  • 错误处理: 可以采用自定义错误志gers,避免直接输出数据库错误信息,减少攻击可感知信息’.

  • 日志审计: 记录所有数据库操作和用户行为,帮助及时发现异常访问。

6. SSL/TLS部署

确保web应用程序和数据库使用SSL/TLS加密通信,防止数据在传输过程中被窃取或篡改。

7. 定期Security审计

每月至少进行一次全面的安全审计,包括代码审查、测试应ROTO技被然,确保防护机制的有效性。

转载地址:http://uvbwk.baihongyu.com/

你可能感兴趣的文章
qt批量操作同类型控件
查看>>
Portaudio笔记-WASAPI
查看>>
position:fixed失效情况
查看>>
Qt开发笔记:QGLWidget、QOpenGLWidget详解及区别
查看>>
Position属性四个值:static、fixed、absolute和relative的区别和用法
查看>>
POSIX thread编程中关于临界区内条件变量的分析
查看>>
POSIX与程序可移植性
查看>>
posix多线程有感--自旋锁
查看>>
SpringBoot中集成海康威视SDK实现布防报警数据上传/交通违章图片上传并在linux上部署(附示例代码资源)
查看>>
POSIX标准和XSI扩展
查看>>
post install error,please remove node_moules before retry
查看>>
postcss-pxtorem 参数之selectorBlackList、exclude的用法
查看>>
Postek博思得标签打印机更换电脑,打印出来标签空白
查看>>
postfix+ dovecot搭建邮件服务器
查看>>
postfix在邮件服务器中的使用
查看>>
PostGIS 3.1.2软件安装详细教程(地图工具篇.8)
查看>>
PostGIS中获取所有EPSG的编码以及对应Proj4字符串
查看>>
SpringBoot中集成海康威视SDK实现布防报警数据上传/交通违章图片上传并在linux上部署(附示例代码资源)
查看>>
PostGIS在Windows上的下载与安装
查看>>
Qt开发——网络编程之UDP客户端
查看>>