Web安全 | 青训营笔记

是柒柒啊
195 阅读5分钟

“这是我参与「第四届青训营 」笔记创作活动的第4天 攻击篇

Cross-Site Scripting(XSS)跨站脚本攻击

恶意注入脚本文件到页面中。 XSS主要利用

  • 前端盲目信任用户提交的内容
  • 把用户提价的内容转换为DOM

特点

  • 难以从UI感知(脚本暗地执行)
  • 窃取用户信息(通过taken/cookie)
  • 绘制UI(诱骗用户点击、填写表单)

没有进行过滤就将内容添加进网页

image.png 恶意插入脚本:

image.png

Store XSS 存储型XSS攻击

特点(危害最大)

  • 恶意脚本被存入数据库
  • 对全部用户可见
  • 访问页面+读数据 ——>被攻击

Reflected XSS 反射型XSS攻击

特点

  • 不涉及数据库
  • 从URL攻击

URL携带脚本: image.png

image.png

DOM-based XSS 基于DOM型XSS攻击

特点

  • 不需要服务器参与
  • 恶意攻击的发起和执行在浏览器完成

URL同上不变,服务器端代码:

image.png

Mutation-based XSS 浏览器型XSS攻击

特点(最难防御)

  • 利用浏览器渲染DOM的特性(独特优化)
  • 按浏览器类型攻击

image.png

使得src属性不符合规范,触发onerror事件和回调 image.png

Cross-Site request forgery(CSRF)跨站伪造请求攻击

特点

  • 在用户不知情的前提下
  • 利用用户权限(cookie)
  • 伪造指定HTTP请求,窃取或修改用户信息

有cookie的请求 === 合法用户的请求 image.png

利用get请求方式

点击则发送请求:

image.png

图片加载则发送请求 image.png

利用post请求方式

利用表单 image.png

Injection注入攻击

SQL攻击

image.png

读取请求字段,直接以字符串的形式拼接SQL语句

image.png

image.png 数据库被删除:

image.png

CLI攻击

例一 删除

接收用户参数不进行过滤,直接转换视频格式 image.png 用户传入的是系统命令: image.png

image.png

例二 读取 + 修改

image.png

如果攻击者获取了nginx.conf文件,能够把网站请求代理到第三方网站(可能导致第三方网站扛不住流量而崩溃)

image.png

Server-Side Request Forgery(SSRF)服务器伪造请求

请求用户自定义的callback URL 访问callback == 暴露内网信息 image.png

Denial of Service(Dos)

定义:通过某种请求方式(构造特定请求)导致服务器资源显著消耗,来不及响应更多请求,导致请求挤压,进而产生雪崩效应。

正则贪婪模式:

a+有多少匹配多少,a+?有一个就行 image.png

ReDos 基于正则的Dos

用户传入一个触发回溯的字符串。 n个ab,发现有一个a匹配不上,就n-1 ..... 回溯,导致响应时间增加接口吞吐量增加 image.png

Logical Dos (DDoS)

特点

  • 耗时的同步操作
  • 数据库的写入
  • 文件备份
  • 循环执行逻辑
  • SQLjoin

image.png

Distributed Dos (DDoS)

定义:短时间内,受到大量来自将是设备的请求流量,服务器不能及时完成请求导致请求堆积,进而雪崩效应,无法响应新的请求。

特点

  • 直接访问IP
  • 任意API
  • 消耗大量带宽(耗尽)

洪水攻击 发送大量请求, TCP三次握手不发生ack,使得连接没有完成,connetion不能被释放,达到最大连接数,导致新请求不能被相应。 image.png

中间人攻击

image.png

原因

  • 明文传输
  • 信息篡改不可知
  • 对方身份未验证

防御篇

image.png 不能直接把用户提交的数据转化为DOM,应该转化为字符串 image.png

XSS防御 现成工具

image.png

如果用户需求必须动态转换为DOM

注意: 1、对string进行转义 image.png 2、对SVG进行扫描,防止有script标签 image.png 3、自定义链接要进行过滤 image.png 4、注意自定义样式,留意url (选中选项时,发送get请求) image.png

Content Security Policy(CSP)内容安全策略

image.png 服务器响应头:跨域处理

image.png 浏览器meta标签:

image.png

CSRF防御

image.png

token防御法

image.png token必须和用户绑定(因为攻击者也可以是注册用户,可以获取自己的token),token过期时间要向前保密 image.png

CSRF iframe攻击

iframe内部的请求是同源请求。使点击button但是触发的是点击iframe的事件 image.png

防御方法: 在服务器设置响应头部:X-Frame-Options:两个可选值

  • DENY(当前 页面不能作为iframe进行加载)
  • SAMEORIGIN同源页面才能加载这个iframe

CSRF anti-pattern攻击

没有规范get请求,既能够发送也能请求数据(get + post)。 image.png 规避:接口功能严格区别。

SameSite Coolie 防御法

避免用户信息被携带(判断页面域名和cookie domain属性是否相同

区别于CORS:判断资源域名与页面域名是否相同

image.png

第一方cookie才能访问对应域名的服务器。

image.png

如果第三方服务也依赖于cookie怎么办? 在服务器端设置:不对sameSite限制,但是要表明是否安全 image.png

同源请求:没有设置限制的cookie和默认设置的cookie都能被携带和处理并返回 跨域请求:没有设置限制的cookie(key = none的cookie)可以被携带和处理并返回

image.png

注入防御

image.png

所有命令都不能通过用户输入执行 命令白名单(指定命令可以运行)

image.png

注入DOS

避免贪婪匹配,不能使用用户自定义的正则。 image.png

DDOS防御

image.png

HTTPS

image.png

完整性:

image.png

avatar
文章
阅读
粉丝