1、项目二 Web站点安全监测与防范习题及解答任务一 Sql注入检测与防范1)、在WEB交互过程中,用户通过浏览器输入的数据是如何提交给服务器端的?解答:WEB交互中,用户通过http协议可以以下3种形式提交数据:一是web表单形式;二是通过GET方式附加在请求的URL后面;三是通过POST方式,把数据存储在一个指定区域进行提交。分析:GET方式附加在请求的URL后面提交数据,数据暴露给用户,不安全。2)、哪些系统中有可能存在SQL注入威胁,请举例说明?解答:涉及数据存储并使用数据库软件作为后台数据存储、管理的系统、平台都可能存在SQL注入威胁,如各类信息管理系统:教务管理系统、学生成绩查询系统、
2、图书馆管理系统等。分析:是否存在SQL注入威胁可通过构建注入语句对各系统、平台进行测试。3)、简述SQL注入产生的原因?解答:产生SQL注入的根本原因是数据库没有对SQL语句进行有效性检测,恶意的SQL语句被执行,导致了信息的泄露,所以使用数据库须养成良好的习惯。分析:可采用以下措施进行防范:不要信任用户的输入;不要动态拼装SQL语句,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取,参数化查询是访问数据库时在需要填入数值或数据的地方,使用参数 (Parameter) 来赋值;应用的异常信息应该给出尽可能少的提示;不要使用数据库系统管理员权限的连接数据库,应对库、表进行用户、权限的细
3、分,确保表、库、系统的使用者不要越界。4)、使用SQL注入如何猜测数据表名?解答:在sql语句中构建包含“-”字符,sql数据库软件执行时会把其后的语句当注释处理,所以在“-”字符前添加select from语句即可对数据库进行数据表名猜测攻击。分析:任务可构建1=1变为1=(select count(*) from allusertbls)语句;利用这个注入语句可以实现对信息系统的数据表名的猜测攻击,数据表名错误,点击“Sign In”按钮后,服务器将返回如图4- 17所示错误提示信息,数据表名称无效即该表名不正确;如果输入变为“12 or 1=(select count(*) from a
4、llusertbl)- ”,数据表名正确,点击“Sign In”按钮后,服务器返回如图4- 16所示用户列表界面;通过这种方式攻击者可以获取目标主机的数据表名。5)、C#中使用参数化查询方式操作数据库涉及哪些对象?解答:涉及Connection对象和Command对象,在Command对象中使用“+参数名”的形式占位并使用Parmmeters 属性的AddWithValue方法进行格式化赋值。分析:参数化查询方式操作数据库时数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有特殊字符串或指令,也不会被数据库运行。6)、在进行SQL防范时,参数化查询和特殊字符检测方式相比,哪种方法最
5、好,为什么?解答:参数化查询方式好,特殊字符检测方式需要收集特殊字符、指令库,一旦特殊字符、指令库不完整,也同样会造成SQL注入。分析:参数化查询方式操作数据库时数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有特殊字符串或指令,也不会被数据库运行。任务二任务二 XSS攻击检测与防范1) XSS攻击的必备条件是什么?解答:界面提供用户录入接口且对用户录入不做限制,服务器端对用户录入信息不进行过滤且能返回用户录入的原始信息;用户录入的信息中包含有HTML代码和javascript脚本,HTML代码可触发javascript脚本代码。分析:XXS攻击的核心是javascript脚本代
6、码。2)、浏览器同源策略下如何实现数据的跨域传输?解答:、标签的src、href属性以及 JSONP(JSON with Padding)都可实现跨域通信方式,其它的非同源通信都是被禁止的。分析:任务中编写网页时通过标签的href属性指定从”3)、NetFrameWork2.0框架是如何防范XSS的?解答:C# .NetFrameWork2.0框架采用服务器端方式对XSS攻击进行防范,可在服务器端设置全局参数文件Global.asax,设置Cookie信息的HttpOnly属性为true禁止客户端读取Cookie信息;其次可设置站点配置文件web.config的节点,设置其选项的validateRequest属性值为true,开启对js脚本代码的检测。分析:客户端防范XSS攻击可减少开发者的工作量,chrome浏览器默认对用户录入的信息进行js脚本代码检测。4)、请使用javascript语言对字符串“”进行URL编码并查看输出。解答:输出为 <script type="text/javascript">分析:Html编码采用符号代替字符串中出现的标点符号,使得浏览器不能执行相应的html代码。
