javaWeb安全漏洞及处理方式

1、SQL注入攻击

    SQL注入攻击就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

　  随着B/S框架结构在系统开发中的广泛应用，恶意攻击者利用SQL命令在Web表单中输入合法的字符或查询字符串来欺骗服务器执行SQL命令。当注入攻击得逞后，Web程序将泄露大量用户隐私数据和数据库中数据结构。攻击者能够获得系统较高的访问权限，进行破坏操作。 

    SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。基于此，SQL注入的产生原因通常表现在以下几方面:

1）不当的类型处理;

2）不安全的数据库配置;

3）不合理的查询集处理;

4）不当的错误处理;

5）转义字符处理不合适;

6) 多个提交处理不当。

解决方法:

    数据库安全通信包括SQL注入攻击的防范、安全设置、异常信息处理三个方面。

    1.服务端Filter对访问者输入的字符进行过滤检验，但是攻击者经常把危险字符潜藏在用户输入的有效字符中完 成过滤检验。

    2.通过正则表达式对页面的文本框输入的数据进行限制可以减少过滤检验存在的漏洞。

    3.使用prepareStatment预编译sql语句

2、XSS跨站脚本攻击

     跨站脚本（Cross-site scripting，简称XSS），是一种迫使Web站点回显可执行代码的攻击技术，而这些可执行代码由攻击者提供、最终为用户浏览器加载。不同于大多数攻击（一般只涉及攻击者和受害者），XSS涉及到三方，即攻击者、客户端与网站。XSS的攻击目标是为了盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。获取到合法用户的信息后，攻击者甚至可以假冒最终用户与网站进行交互。

    XSS 属于被动式的攻击。攻击者先构造一个跨站页面，利用SCRIPT、、