【青训营】- Web安全浅析

BY彡阿长
162 阅读4分钟

Web安全

两个角度看Web安全

  • 假如你是一个hacker--攻击
  • 假如你是一个开发者--防御

攻击篇

Cross-Site Scripting(XSS)

跨站脚本攻击:把恶意脚本插入页面中

特点:

  • 通常难以从UI上感知==>暗地执行脚本
  • 窃取用户信息(cookie/token)
  • 绘制UI(例如弹窗),诱骗用户点击/填写表单

按特点分类

Stored XSS

存储性XSS

  • 恶意脚本被存在数据库中
  • 访问页面-->读取数据===被攻击
  • 危害最大,对全部用户可见

Reflected XSS

反射型

  • 不涉及数据库
  • 从URL上攻击

DOM-based XSS

  • 不需要服务器参与
  • 恶意攻击的发起+执行,全部在浏览器完成

Mutation-based XSS

  • 利用了浏览器渲染DOM的特性(独特优化)

  • 不同浏览器,会有区别(按浏览器进行攻击)

Cross-site request forgery(CSRF)

跨站伪造请求

  • 在用户不知情的前提下
  • 利用用户权限(cookie)
  • 构造指定HTTP请求,窃取或修改用户敏感信息

CSRF--GET

//主动点击
<a href="https://bank.com/transfer?to=hacker$amount=100">点击抽奖</a>

//被动
<img style="display:none;" src="https://bank.com/transfer?to=hacker&amount=100">

Injection

注入攻击

SQL Inject

请求SQL参数注入==>服务器拼接参数运行SQL code==>获取其他数据,修改数据,删除数据。

injection 不至于 SQL

  • CLI(脚手架)
  • OS command(系统命令)
  • Server-Sied Request Forgery(SSRF),服务端伪造请求
    • 严格而言,SSRF不是injection,但是原理类似

Denial of Service(Dos)

通过某种方式(来构造特定请求),导致服务器资源别显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应。

ReDos:基于正则表达式的Dos

贪婪:n次不行?n-1次试试--回溯

尝试匹配次数增加,服务器响应变慢

Disributed Dos (DDos)

分布式Dos攻击

短时间内,来着大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求。

特点

  • 直接访问IP
  • 任意API
  • 消耗大量带宽

传输层

中间人攻击

浏览器和服务器彼此以为是相互沟通交流,实际上有中间人介入,中间人会修改请求,窃取数据。

  1. 明文传输
  2. 信息篡改不可知
  3. 对方身份未验证

防御篇

XSS

永远不信任用户的提交内容

不要将用户提交内容直接转换成DOM

前端

  • 主流框架默认防御XSS
  • Google-closure-library

服务端(Node.js)

  • DOMPurify

注意:

  • 必须动态生成DOM
    • string->DOM,对string进行过滤
  • 上传SVG,SVG中可以内嵌脚本
  • 自定义跳转链接
    • a标签的src可以写成js代码
  • 自定义样式

同源策略Same-origin Policy

三者相同

  • 协议
  • 域名
  • 端口

Content Security Policy(CSP)

  • 哪些源被认为是安全的
  • 来自安全源的脚本可以执行,否则直接抛出错误
  • eval + inline script说NO

最主流的方式就是在服务器配置响应头部

浏览器meta

CSRF的防御

请求头部

  • if伪造请求===异常来源
  • then限制请求来源-->限制伪造请求
  • Origin
    • 同源请求中,GET+HEAD不发生
  • Referer

CSRF--token

  • 浏览器首先请求页面
  • 服务器返回页面+token,token和用户信息绑定
  • 当前页面再向服务器发送请求时token会被携带
  • 服务器首先验证token,通过则返回数据

CSRF--iframe攻击

同源请求

透明的iframe

CSRF anti-pattern

将更新和获取逻辑放在同一个GET请求接口中

避免用户信息被携带:SameSite Cookie

只有同源的请求才能带当前源的cookie

防御CSRF的正确姿势

在中间件中统一处理验证工作

Injection的防御

  • 找到项目中SQL的地方

  • 使用prepared statement,将SQL语句提前编译一遍

  • 最小权限原则

    • 🈲sudo || root

  • 建立允许名单+过滤

    • 🈲 rm

  • 对URL类型参数进行协议、域名、ip等限制

    • 🈲访问内网

防御DDoS

  • 流量治理
    • 负载均衡
    • API网关
    • CDN
  • 快速自动扩容
  • 非核心服务降级

防御中间人

利用HTTPS实现

特征:

  • 可靠性:加密
  • 完整性:MAC验证
  • 不可抵赖性:数字签名

SRI

静态资源被劫持篡改--对比hash值

avatar
文章
阅读
粉丝