Web开发的安全之旅|青训营笔记

这是我参与「第四届青训营 」笔记创作活动的的第6天

攻击篇

XSS

• 盲目信任用户的提交内容

XSS特点：

• 难以从UI上感知（暗地执行脚本）
• 窃取用户信息
• 绘制UI（如表单），诱骗用户点击/完成表单

XSS分类：

• Stored XSS：

  • 恶意脚本被存在数据库中
  • 访问页面-读数据-被攻击
  • 危害最大，对全部用户可见

• Reflected XSS:

  • 不涉及数据库
  • 从URL上攻击

• DOM-based XSS:

  • 不需要服务器的参与
  • 恶意攻击出发起和执行，全在浏览器执行

• Mutation-based XSS:

  • 利用了浏览器渲染DOM的特性
  • 按浏览器进行攻击，不同浏览器会有不同区别

CSRF

特点：

• 在用户不知情的情况下
• 利用用户权限（cookie）
• 构造指定HTTP请求，窃取或修改用户敏感信息

Injection

SQL Injection

• 过程：

  • 请求 SQL参数（恶意注入）
  • server 运行SQLcode
  • 获取其他数据，修改数据，删除数据等

Injection demo 1

• 读取请求字段
• 直接以字符串的形式拼接SQL语句

SSRF demo

• 请求用户自定义的callback URL
• webserver通常有内网访问权限

DOS

• 通过某种方式（构造某种请求），导致服务器资源被显著消耗，来不及响应更多请求，导致请求挤压，进而发出雪崩效应。

Logincal DOS

• 耗时的同步操作
• 数据库写入
• SOL join
• 文件备份
• 循环执行逻辑

DDOS

• 短时间内，来自大量僵尸设备的请求流量，服务器不能及时完成全请求，导致请求堆积，进而雪崩效应，无法响应新请求

• 攻击特点

  • 直接访问IP
  • 任意API
  • 消耗大量带宽

• 中间人攻击：

  • 明文传输
  • 信息纂改不可知
  • 对方身份未验证

防御篇

XSS

• 永远不要信任用户的提交内容
• 不要将用户提交的内容直接转换出demo

现成工具

• 前端

  • 主流框架默认防御 XXS
  • Google- closure- library

• 服务端（Node）

  • DOMPurify

CSP

• 哪些域名被认为是安全的
• 来自安全源的脚本可以执行，否则直接抛错

CSRF的防御

• if伪造请求==异常来源

• then限制请求来源，限制伪造请求

• origin

  • 同源请求中，GET+HEAD不发送

• Referer

总结与收获

• 从攻击、防御两个视角，简要介绍了前端范畴内常见的安全问题，包括 XSS、CSRF、SQL 注入、DOS 等，让我有了对前端的安全意识，对今后的编程思维有很大帮助