SQL注入
SQL注入攻擊就是攻擊者把SQL語句寫入到表單的輸入框或者頁面get請(qǐng)求的查詢字符串匣缘,來達(dá)到欺騙服務(wù)器去執(zhí)行寫入的SQL語句命令猖闪。
SQL語句能繞過防火墻直接訪問數(shù)據(jù)庫。
SQL注入實(shí)現(xiàn)
比如簡(jiǎn)單的用戶登錄查詢
SELECT * FROM users WHERE username = 'abc' AND password = '123'
服務(wù)端代碼(node)
const SQL = `SELECT * FROM user WHERE username = '${username}' AND password = '${passwpord}'`
表單輸入
username = ' or 1=1
password = angthing
實(shí)際的查詢代碼
SELECT * FROM users WHERE username = ''or1=1 AND password = 'anything'
或者去通過url的get請(qǐng)求去發(fā)起
比如url帶有查詢字符串(例如肌厨,?id=123)培慌,向這個(gè)網(wǎng)站發(fā)起請(qǐng)求,改變其中的id參數(shù)柑爸, 使它帶一個(gè)額外的單引號(hào)(?id=123') 吵护,可以查看返回信息得知這個(gè)網(wǎng)站是否可以被SQL注入。
SQL注入防范方法(node-mysql)
- 使用escape()對(duì)傳入?yún)?shù)進(jìn)行編碼:
mysql.escape(param)
connection.escape(param)
pool.escape(param)
- 使用connection.query()的查詢參數(shù)占位符
可使用 ? 做為查詢參數(shù)占位符表鳍。在使用查詢參數(shù)占位符時(shí)馅而,在其內(nèi)部自動(dòng)調(diào)用 connection.escape() 方法對(duì)傳入?yún)?shù)進(jìn)行編碼。
例如:
var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
- 使用mysql.format()轉(zhuǎn)義參數(shù)
準(zhǔn)備查詢譬圣,該函數(shù)會(huì)選擇合適的轉(zhuǎn)義方法轉(zhuǎn)義參數(shù) mysql.format()用于準(zhǔn)備查詢語句瓮恭,該函數(shù)會(huì)自動(dòng)的選擇合適的方法轉(zhuǎn)義參數(shù)。
例如:
var userId = 1;
var sql = "SELECT * FROM ?? WHERE ?? = ?";
var inserts = ['users', 'id', userId];
sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1
- 也可以通過正則或者字符串篩選來對(duì)輸入內(nèi)容的驗(yàn)證
XSS(跨站腳本攻擊)
XSS指的是跨站腳本攻擊胁镐,是web程序中最常見的漏洞偎血。指攻擊者在網(wǎng)頁中嵌入客戶端腳本,當(dāng)用戶瀏覽此網(wǎng)頁時(shí)盯漂,腳本就會(huì)在用戶的瀏覽器上執(zhí)行颇玷,從而達(dá)到攻擊者的目的。比如獲取用戶的cookie通過ajax發(fā)送到攻擊者的服務(wù)器就缆,導(dǎo)航到惡意網(wǎng)站等帖渠。
XSS攻擊原理
分類:
反射型
注入腳本從網(wǎng)站服務(wù)器被反彈回來,比如錯(cuò)誤消息竭宰、搜索結(jié)果空郊、或者任何其他響應(yīng)(這些響應(yīng)完全或部分包含了用戶在瀏覽器輸入的內(nèi)容)。反射型攻擊通過其他途徑傳遞到受害者切揭,比如郵件狞甚、或其他網(wǎng)站。當(dāng)用戶被引誘點(diǎn)擊惡意鏈接廓旬,提交一個(gè)特別構(gòu)造的表單哼审、或?yàn)g覽一個(gè)惡意站點(diǎn),注入腳本傳送到了脆弱站點(diǎn)并反射給用戶的瀏覽器,瀏覽器認(rèn)為該鏈接來自一個(gè)可信的服務(wù)器就執(zhí)行了它涩盾。反射型XSS也稱為非持久型十气。
簡(jiǎn)單的舉個(gè)栗子:
html
<textarea id='text'/>
<button type='button' id='btn'></button>
<script>
const btn = document.queryselector('#btn')
const text = document.queryselector('#text')
btn.addEventListener('click', async () => {
try{
const result = await axios.get(`/test?test=${text.value}`)
const { success, text } = result
if(success){
document.body.insertAdjacentHTML('beforeend', text)
}
}catch(e){
//
}
})
</script>
express
const express = require('express')
const router = express.Router()
router.get('/test', (req, res, next) => {
//
res.json({
success:true,
test:req.query.test
})
})
現(xiàn)在我們通過文本框添加一段代碼
<img src="null" onerror='alert(document.cookie)' />
通過click事件, 把這段代碼提交到服務(wù)端春霍,并進(jìn)行了相應(yīng)砸西,就會(huì)獲得到用戶的cookie。
實(shí)際上我們只是進(jìn)行了模擬攻擊址儒。如果是攻擊者的話芹枷,會(huì)注入一段第三方的js代碼(各種編碼形式的unicode編碼,html十進(jìn)制离福、十六進(jìn)制編碼)杖狼,然后將獲取到的cookie儲(chǔ)存到他們的服務(wù)器上,這樣的話攻擊者就可以拿身份認(rèn)證做一些有害于我們的事情了妖爷。
<img src="x" onerror="\u0061\u006c\u0065\u0072\u0074('js-unicode-encoded')">
<img src="x" onerror="alert(1)">
<img src="x" onerror="alert('html编码')">
儲(chǔ)存型
存儲(chǔ)型XSS蝶涩,也叫持久型XSS,主要是將XSS代碼發(fā)送到服務(wù)器(不管是數(shù)據(jù)庫絮识、內(nèi)存還是文件系統(tǒng)等绿聘。),然后在下次請(qǐng)求頁面的時(shí)候就不用帶上XSS代碼了
最典型的就是留言板XSS次舌。用戶提交了一條包含XSS代碼的留言到數(shù)據(jù)庫熄攘。當(dāng)目標(biāo)用戶查詢留言時(shí),那些留言的內(nèi)容會(huì)從服務(wù)器解析之后加載出來彼念。瀏覽器發(fā)現(xiàn)有XSS代碼挪圾,就當(dāng)做正常的HTML和JS解析執(zhí)行。XSS攻擊就發(fā)生了逐沙。
DOM XSS
DOM XSS攻擊不同于反射型XSS和存儲(chǔ)型XSS哲思,DOM XSS代碼不需要服務(wù)器端的解析響應(yīng)的直接參與,而是通過瀏覽器端的DOM解析吩案。這完全是客戶端的事情棚赔。
DOM XSS代碼的攻擊發(fā)生的可能在于我們編寫JS代碼造成的。我們知道eval語句有一個(gè)作用是將一段字符串轉(zhuǎn)換為真正的JS語句徘郭,因此在JS中使用eval是很危險(xiǎn)的事情靠益,容易造成XSS攻擊。避免使用eval語句残揉。
再舉下??:
test.addEventListener('click', () => {
const node = window.eval(txt.value)
window.alert(node)
}, false)
//txt中的代碼如下
<img src='null' onerror='alert(123)' />
通過eval語句就造成了XSS攻擊胧后。
XSS危害
- 盜取cookie
通過XSS攻擊,由于注入代碼是在被攻擊者客戶端執(zhí)行的抱环,因此盜取到cookie信息绩卤,從而冒充被攻擊者途样。
2.釣魚攻擊
所謂釣魚攻擊就是構(gòu)建一個(gè)釣魚頁面,誘騙受害者在其中輸入一些敏感信息濒憋,然后將其發(fā)送給攻擊者。利用XSS的注入腳本陶夜,我們也可以很方便地注入釣魚頁面的代碼凛驮,從而引導(dǎo)釣魚攻擊。
XSS預(yù)防
1.輸入過濾
對(duì)用戶輸入的內(nèi)容進(jìn)行檢測(cè)条辟, 比如<黔夭、>、/ 等可能導(dǎo)致腳本注入的特殊字符羽嫡,或者過濾 script 本姥、javasript 等腳本關(guān)鍵字。同時(shí)我們也要驗(yàn)證16進(jìn)制的字符杭棵。 只要對(duì)每個(gè)輸入點(diǎn)進(jìn)行驗(yàn)證婚惫,保證對(duì)所有用戶的輸入進(jìn)行檢測(cè),就能有效的阻止XSS攻擊魂爪。
2.輸出編碼
對(duì)輸出的內(nèi)容進(jìn)行編碼和解碼先舷,就能保證所有的都是當(dāng)做文本來進(jìn)行處理。
3.cookie加密
對(duì)于cookie來說滓侍, 盡量的不去存儲(chǔ)敏感信息蒋川,如用戶名,密碼等撩笆。其次我們對(duì)其進(jìn)行MD5加密之后再進(jìn)行算法的處理捺球,來截取cookie來達(dá)到加密效果,或者也可以和ip進(jìn)行綁定夕冲。
CSRF
跨站請(qǐng)求偽造
你這可以這么理解CSRF攻擊:攻擊者盜用了你的身份氮兵,以你的名義發(fā)送惡意請(qǐng)求。CSRF能夠做的事情包括:以你名義發(fā)送郵件耘擂,發(fā)消息胆剧,盜取你的賬號(hào),甚至于購買商品醉冤,虛擬貨幣轉(zhuǎn)賬......造成的問題包括:個(gè)人隱私泄露以及財(cái)產(chǎn)安全秩霍。
原理
網(wǎng)站A :為惡意網(wǎng)站。
網(wǎng)站B :用戶已登錄的網(wǎng)站蚁阳。
當(dāng)用戶訪問 A站 時(shí)铃绒,A站 私自訪問 B站 的操作鏈接,模擬用戶操作螺捐。
假設(shè)B站有一個(gè)刪除評(píng)論的鏈接:http://b.com/comment/?type=delete&id=81723
A站 直接訪問該鏈接颠悬,就能刪除用戶在 B站 的評(píng)論矮燎。
CSRF防御
1.驗(yàn)證碼
一些關(guān)鍵的操作都可以伴隨著驗(yàn)證碼的確認(rèn)。
2.token
CSRF能被攻擊成功赔癌,根本原因是所有的參數(shù)都被攻擊者猜到诞外。
既然知道原因,那我們可以對(duì)癥下藥灾票。每次請(qǐng)求都攜帶著token去服務(wù)器和session進(jìn)行驗(yàn)證峡谊。