java 网站安全之SSRF与SQL注入防范



           JAVA 网站安全在互联网的快速发展中,攻击以及漏洞越来越多,像SSRF以及SQL注入漏

洞,都是java网站的最主要的攻击,影响网站的整个网站,以及服务
器安全。SSRF漏洞的存在大

部分是由于网站程序代码从第三方网站获取数据的同时
,以及下载第三方服务器的数据的时候没

有对其进行详细的过滤与安全限制,例如
从第三方的URL地址去获取文件,以及下载图片到自己

服务器里,都会有可能形成
SSRF攻击。
 
 
关于SSRF网站漏洞实例:
 
 

 
对网站里的代码安全进行审计,我们可以看到上面图片中的代码是从程序里发起网站get请求,来

进行获取远程服务器的图片,以及文件,在进行代码的安全审计的
时候我们要进行详细的安全检

测该代码,以及get请求应用到的变量函数。Sine安
全公司是一家专注于:服务器安全、网站安

、网站安全检测、网站漏洞修复,渗
透测试,安全服务于一体的网络安全服务提供商。
 
 
如何修复该SSRF网站漏洞呢?
 
建议如下:
 
1.在代码里进行安全的白名单限制,对第三方的服务器以及网站地址进行过滤。
 
2.将客户请求的错误信息停止响应
 
3.禁止一些没必要的网站端口以及安全协议,仅允许http、https安全连接协议。
 
 
java网站的SQL注入漏洞
 
SQL注入,在java中是比较常见的,许多程序员在开发的同时并没有对用户输入的数据进行安全限

制,而直接执行到服务器端,当做sql语句来执行了,那么sql注入
如何被执行的呢?首先用户有可

以输入数据的地方,再一个用户输入的数据转换成
代码,并拼接成了sql语句执行到了后台服务器

里,从而攻击者就可以构造恶意sql
语句进行对网站的攻击。Sine安全公司是一家专注于:服务器

安全、网站安全、网
站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供

商。
 
 
SQL注入漏洞实例:


 
以MYSQL数据库为架构的网站,如下的sql代码。
 
select * from sinesafe where id= ${id}
 
如果程序代码里没有对用户输入的数据进行过滤,那么就可以构造恶意代码,像查询管理员的语

句,查询服务器版本,以及查询用户密码的语句。那么该如何防止
sql注入呢?修复如下:
 
mysql框架的sql语句代码,在写法上应该避免使用#{}以及动态的拼接代码,PHP.ini开启安全模

式,防止sql语句进一步的执行。
分享: