Web开发的安全之旅（攻击篇）|青训营笔记

这是我参与「第四届青训营」笔记创作活动的的第7天。

Web安全一窥

安全问题“很常见”，会危害用户、公司、程序员。

下面将从攻击与防御两个角度看Web安全，本文为攻击篇。

假如你是一个hacker——攻击篇

Cross-Site Scripting（XSS）

跨站脚本攻击。XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

XSS利用了：

• 作为开发者，我们盲目信任用户提交的内容。
• 作为前端开发工程师，我们直接把用户提交的字符串转化成DOM

XSS的一些特点：

• 通常难以从UI上感知（暗地执行脚本）
• 窃取用户信息（cookie/token）
• 绘制UI（例如弹窗），诱骗用户点击/填写表单

Stored XSS

• 恶意脚本被存在数据库中
• 访问页面$\rightarrow$读数据$\equiv$被攻击
• 危害最大，对全部用户可见

Reflected XSS

• 不涉及数据库
• 从URL上攻击

从服务器端进行注射脚本。

DOM-based XSS

• 不需要服务器的参与
• 恶意攻击的发起+执行，全在浏览器完成

从浏览器进行注射脚本。

Mutation-based XSS

• 利用了浏览器渲染DOM的特性（独特优化）
• 不同浏览器，会有区别（按浏览器进行攻击）

Cross-site request forgery（CSRF）

跨站伪造请求。CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

CSRF的一些特点：

• 在用户不知情的前提下
• 利用用户权限（cookie）
• 构造指定HTTP请求，窃取或修改用户敏感信息

方式：

1. GET
2. beyond GET

Injection

注入。

SQL Injection

1. 读取请求字段
2. 直接以字符串的形式拼接SQL语句

不止于SQL

• CLI
• OS command
• Server-Side Request Forgery（SSFR），服务端伪造请求
  • 严格而言SSRF不是injection，但是原理类似

Denial of Service(DoS)

服务拒绝。DoS通过某种方式（构造特定请求），导致服务器资源被显著消耗，来不及响应更多请求，导致请求挤压，进而雪崩效应。

ReDoS：基于正则表达式的DoS

重复匹配时$\lceil ?\rfloor\quad vs\quad\lceil no\quad ?\rfloor$：满足“一个”即可vs尽量多

贪婪：n次行不行？n-1次再试试？——回溯

Distributed DoS(DDoS)

短时间内，来自大量僵尸设备的请求流量，服务器不能及时完成全部请求，导致请求堆积，进而雪崩效应，无法响应新请求。

攻击特点：

• 直接访问IP
• 任意API
• 消耗大量带宽（耗尽）

传输层

中间人攻击

• 明文传输
• 信息篡改不可知
• 对方身份未验证