防止SQL注入攻击的方法 Java Web 应用程序中的 XSS

Question

我正在编写一个 java 类，该类将由 servlet 过滤器调用，并检查基于 Struts 的 java web 应用程序的注入攻击尝试和 XSS。 InjectionAttackChecker 类使用正则表达式 & java.util.regex.Pattern 类，用于根据正则表达式中指定的模式验证输入。

话虽如此，我有以下问题：

1. 应该阻止哪些所有特殊字符和字符模式（例如 <>、.、--、<=、==、>=）从而可以防止注入攻击。
2. 是否有我可以按原样使用的现有正则表达式模式？
3. 在某些特定情况下，我必须允许使用一些特殊字符模式，一些示例值（允许）是（使用“管道”|字符作为不同值的分隔符）*Atlanta | #654，8号楼#501 | 单纯疱疹：慢性溃疡（持续时间>1个月）或支气管炎、肺炎或食管炎| 功能与功能 COMP（date_cmp），“NDI＆MALKP＆HARS_IN（icd10，是）”。 我应该采取什么策略才能防止注入攻击和 XSS，但仍然允许这些字符模式。

我希望我已经清楚地提到了这个问题。 但如果我没有，我很抱歉，因为这只是我的第二个问题。 如果需要任何说明，请告诉我。

Answer 1

根据您的问题，我假设您正在尝试过滤不良值。 我个人认为这种方法很快就会变得非常复杂，并且建议将编码值作为替代方法。 这是一篇关于该主题的 IBM 文章，列出了两种方法的优缺点，http://www.ibm.com/developerworks/tivoli/library/s-csscript/。

为了避免 SQL 注入攻击，只需使用准备好的语句而不是创建 SQL 字符串。

Answer 2

如果您尝试清理输入的所有数据，您将会遇到非常困难的时期。 有大量涉及字符编码的技巧，可以让人们绕过您的过滤器。 这个令人印象深刻的列表只是可以完成的无数事情中的一部分SQL注入。 您还必须防止 HTML 注入、JS 注入以及其他可能的注入。 执行此操作的唯一可靠方法是对应用程序中使用的数据进行编码。 对写入网站的所有输出进行编码，对所有 SQL 参数进行编码。 对于后者要特别小心，因为正常编码不适用于非字符串 SQL 参数，如该链接中所述。 使用参数化查询是完全安全的。 另请注意，理论上您可以在用户输入数据时对数据进行编码并将其编码存储在数据库中，但这仅在您始终以使用该类型编码（即 HTML如果它只与 HTML 一起使用，则编码；如果它在 SQL 中使用，则不会受到保护）。 这就是为什么经验法则是永远不要将编码数据存储在数据库中并且始终在使用时进行编码的部分原因。

Answer 3

验证和绑定所有数据是必须的。 同时执行客户端和服务器端验证，因为 10% 的人在浏览器中关闭 JavaScript。

Jeff Atwood 有一个关于该主题的不错的博客，为您提供了因其复杂性而具有风味。

Answer 4

这是一篇关于该主题的相当广泛的文章。

但我不认为你会在这里拥有圣杯。 我还建议尝试以一些标准方式对接收到的文本进行编码/解码（uuencode、base64）

Answer 5

不要过滤或阻止值。

1. 您应该确保在组合文本位时进行正确的类型转换:)即：如果您有一个 HTML 类型的字符串和一个 TEXT 类型的字符串，您应该将 TEXT 转换为 HTML，而不是盲目地连接它们。 在 haskell 您可以使用类型系统方便地强制执行此操作。

好的 html 模板语言会默认转义。 如果您要生成 XML/HTML，那么有时使用 DOM 工具比模板语言更好。 如果您使用 DOM 工具，那么它可以消除很多此类问题。 不幸的是，与模板相比，DOM 工具通常很糟糕:)

2. 如果您从用户那里获取 HTML 类型的字符串，您应该使用库对其进行清理，以删除所有不好的标签/属性。 有很多好的白名单 html 过滤器。
3. 您应该始终使用参数化查询。 总是！ 如果您必须动态构建查询，那么可以使用参数动态构建它们。 切勿将非 SQL 类型字符串与 SQL 类型字符串组合在一起。

Answer 6

查看 AntiSamy 项目 [www.owasp.org]。 我认为这正是您想要的； 您可以设置过滤器来阻止某些标签。 他们还提供策略模板，斜线策略将是一个好的开始，然后添加您需要的标签。

此外，www.osasp.org 网站上还有大量有关保护您的应用程序的知识。

用户“nemo”所说的有关使用准备好的语句和编码的内容也应该执行。