Web应用中常见39种不同的安全漏洞漏洞分析及检查方法WORD版.docxVIP

. . Web应用中常见39种不同的安全漏洞漏洞分析及检查方法 1.1?SQL注入漏洞 风险等级：高危 漏洞描述： SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验，即没有进行有效地特殊字符过滤，导致网站服务器存在安全风险，这就是SQL Injection，即SQL注入漏洞。 漏洞危害： 1) 机密数据被窃取； 2) 核心业务数据被篡改； 3) 网页被篡改； 4) 数据库所在服务器被攻击从而变为傀儡主机，导致局域网(内网)被入侵。 修复建议： 1)?在网页代码中对用户输入的数据进行严格过滤；（代码层） 2)?部署Web应用防火墙；（设备层） 3)?对数据库操作进行监控。（数据库层） 代码层最佳防御sql漏洞方案：采用sql语句预编译和绑定变量，是防御sql注入的最佳方法。 原因：采用了PreparedStatement，就会将sql语句：select id, no from user where id=? 预先编译好，也就是SQL引擎会预先进行语法分析，产生语法树，生成执行计划，也就是说，后面你输入的参数，无论你输入的是什么，都不会影响该sql语句的 语法结构了，因为语法分析已经完成了，而语法分析主要是分析sql命令，比如select ,from ,where ,and, or ,order by 等等。所以即使你后面输入了这些sql命令，也