前言
Web安全主要有如下幾大分類
- XSS
- CSRF(跨站請求偽造)
- SQL注入
- 命令行注入
- DDos注入
- 流量劫持
XSS
非持久型XSS(反射型)漏洞
簡介
攻擊者通過給別人發(fā)送帶有惡意腳本代碼參數(shù)的URL哈雏,當(dāng)URL地址被打開時(shí)炕吸,特有的惡意代碼參數(shù)被HTML解析、執(zhí)行芦岂,從而達(dá)到攻擊目的(獲取用戶信息直秆,侵犯隱私)
特點(diǎn)
注入方式不是來源與URL邑狸,通過后端從數(shù)據(jù)庫讀取數(shù)據(jù)。不需要誘騙點(diǎn)擊蒿赢,只要求攻擊者在提交表單的地方完成注入即可
解決方法
- Web頁面渲染所有內(nèi)容或渲染的數(shù)據(jù)必須來源于服務(wù)器
- 不要從 URL,document.referrer,document.forms 等這種 DOM API 中獲取數(shù)據(jù)直接渲染
- 盡量不要使用 eval, new Function()渣触,document.write()羡棵,document.writeln(),window.setInterval()window.setTimeout()嗅钻,innerHTML皂冰,document.creteElement() 等可執(zhí)行字符串的方法
- 需要對DOM渲染方法傳入的字符串參數(shù)做escape轉(zhuǎn)義
持久型XSS(存儲型)漏洞
簡介
一般存在與form提交表單之中,如留言养篓,提交文本秃流。攻擊者利用XSS漏洞,將腳本內(nèi)容經(jīng)過正常功能提交進(jìn)入數(shù)據(jù)庫永久保存柳弄,當(dāng)前端獲得后端從數(shù)據(jù)庫中讀出的注入代碼時(shí)舶胀,將其渲染執(zhí)行
特點(diǎn)
注入方式不是來源與URL,通過后端從數(shù)據(jù)庫讀取數(shù)據(jù)碧注。不需要誘騙點(diǎn)擊嚣伐,只要求攻擊者在提交表單的地方完成注入即可
成功條件
- POST請求提交表單沒有經(jīng)過轉(zhuǎn)義直接入庫
- 后端從數(shù)據(jù)庫取出數(shù)據(jù)沒有轉(zhuǎn)義直接輸出給前端
- 前端拿到后端數(shù)據(jù)后沒有經(jīng)過轉(zhuǎn)義直接渲染
解決方法
- 后端入庫前不要相信前端任何數(shù)據(jù),統(tǒng)一將所有字符轉(zhuǎn)義
- 后端將數(shù)據(jù)輸出給前段時(shí)統(tǒng)一進(jìn)行轉(zhuǎn)義
- 前端進(jìn)行渲染時(shí)萍丐,將從后端請求過來的數(shù)據(jù)統(tǒng)一轉(zhuǎn)義處理
基于字符集的XSS
簡介
大部分瀏覽器都專門針對XSS進(jìn)行轉(zhuǎn)義處理轩端,但也有很多方式可以繞過轉(zhuǎn)義規(guī)則,比如web頁面字符集不固定逝变,用戶輸入非字符集字符基茵,有時(shí)會繞過轉(zhuǎn)義過濾規(guī)則
解法
- 指定 <meta charset="utf-8">,用utf-8壳影,而且標(biāo)簽閉合
CSRF
原理
用戶登錄了某網(wǎng)站A拱层,并在本地記錄了cookie,在沒有退出該網(wǎng)站時(shí)(cookie有效的時(shí)間內(nèi)),攻擊者發(fā)送引誘網(wǎng)站B态贤,B要求訪問A舱呻,從而達(dá)到獲取用戶隱私
解法
- 正確使用get(只用于查看,列舉悠汽,展示等不需要改變資源屬性的時(shí)候) post(用于form表單提交箱吕,改變一個(gè)資源的屬性或做一些其他事情,如數(shù)據(jù)庫增刪改)和cookie
- 非GET請求中柿冲,為每個(gè)用戶生產(chǎn)一個(gè)cookie token
- POST請求的時(shí)候使用驗(yàn)證碼
- 渲染表單的時(shí)候茬高,為每個(gè)表單加一個(gè) csrfToken,然后在后端做 csrfToken驗(yàn)證
- 校驗(yàn)請求來源
- 設(shè)置cookie samesite
SQL注入
原理
程序沒有有效的轉(zhuǎn)義過濾用戶的輸入假抄,使得攻擊者成功向服務(wù)器提交惡意的SQL查詢代碼怎栽,使得程序?qū)⒐粽叩妮斎胱鳛椴樵冋Z句一部分執(zhí)行
預(yù)防方法
- 嚴(yán)格限制web應(yīng)用的數(shù)據(jù)庫操作權(quán)限丽猬,給此用戶提供僅僅能夠滿足其工作的最低權(quán)限
- 后端代碼檢查輸入數(shù)據(jù)是否符合預(yù)期,嚴(yán)格限制變量的類型熏瞄,比如使用正則表達(dá)式進(jìn)行匹配
- 對進(jìn)入數(shù)據(jù)庫的特殊字符('脚祟,",强饮,<由桌,>,&邮丰,*)進(jìn)行轉(zhuǎn)義處理
- 應(yīng)用上線前建議使用專業(yè)的SQL注入檢測
命令行注入
指的是攻擊者能夠通過 HTTP 請求直接侵入主機(jī)行您,執(zhí)行攻擊者預(yù)設(shè)的 shell 命令這往往是 Web 開發(fā)者最容易忽視但是卻是最危險(xiǎn)的一個(gè)漏洞之一
DDos攻擊
分布式拒絕服務(wù),其原理就是利用大量的請求造成資源過載剪廉,導(dǎo)致服務(wù)不可用
- 網(wǎng)絡(luò)層DDos
- 應(yīng)用層DDos
流量劫持
DNS劫持
DNS是將網(wǎng)絡(luò)域名對應(yīng)到真實(shí)計(jì)算機(jī)能夠識別的IP地址娃循,以便進(jìn)一步通信。DNS劫持就是當(dāng)用戶通過某一個(gè)域名訪問站點(diǎn)時(shí)斗蒋,被篡改的DNS服務(wù)器返回的是一個(gè)釣魚站點(diǎn)的IP捌斧,用戶就被劫持到釣魚網(wǎng)站,進(jìn)而隱私泄露
HTTP劫持
HTTP劫持吹泡,當(dāng)用戶訪問某個(gè)站點(diǎn)時(shí)會經(jīng)過運(yùn)營商網(wǎng)絡(luò)骤星,不法運(yùn)營商和黑廠勾結(jié)能夠截獲請求返回內(nèi)容,并且篡改內(nèi)容爆哑,然后再返回給用戶洞难,從而實(shí)現(xiàn)劫持頁面,輕則插入小廣告揭朝,重則直接串改成釣魚網(wǎng)站騙用戶隱私
解決: 通信過程沒有對對方身份進(jìn)行校驗(yàn)以及對數(shù)據(jù)完整性進(jìn)行校驗(yàn)队贱,所以防止 HTTP 劫持的方法只有將內(nèi)容加密,讓劫持者無法破解篡改潭袱,這樣就可以防止 HTTP 劫持了
