这是我参与「第四届青训营 」笔记创作活动的第6天
课堂内容
Web安全的两个角度
- 假如你是一个hacker——攻击
- 假如你是一个开发者——防御
攻击篇
一、Cross Site Scripting(XSS)
1.什么是XSS?
- 跨站脚本攻击
- 利用网站漏洞从用户那里恶意盗取信息
2.XSS的特点
- 通常难以从UI上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI(例如弹窗),诱骗用户点击/填写表单
3.一些XSS类型
- Stored XSS
- 恶意脚本被存在数据库中
- 访问页面→读数据=被攻击
- 危害最大,对全部用户可见
- Reflected XSS
- 不涉及数据库
- 从URL上攻击
- DOM-based XSS
- 不需要服务器的参与
- 恶意攻击的发起+执行,全在浏览器完成
- Mutation-based XSS
- 利用了浏览器渲染DOM的特性(独特优化)
- 不同浏览器,会有区别(按浏览器进行攻击)
二、Cross-site request forgery(CSRF)
1.什么是CSRF
- 跨站请求伪造
- 攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令
2.CSRF的特点
- 在用户不知情的前提下
- 利用用户权限(cookie)
- 构造指定HTTP请求,窃取或修改用户敏感信息
三、Injection注入
攻击类型
- SQL
- CLI
- OS Command
- Server-Side Request Forgery(SSRF),服务端伪造请求(严格而言,SSRF不是injection,但是原理类似 )
四、Denial of Service(DoS)
1.定义
通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应。
2.一些DoS类型
- ReDoS:基于正则表达式的DoS
- 回溯
- Logical DoS
- 耗时的同步操作
- 数据库写入
- SQL join
- 文件备份
- 循环执行逻辑
- Distributed DoS(DDoS)
- 短时间内,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求。
- 直接访问IP
- 任意API
- 消耗大量带宽(耗尽)
五、基于传输层的攻击
中间人攻击
可行的原因:
- 明文传输
- 信息篡改不可知
- 对方身份未验证
防御篇
一、XSS防御
1.原则
- 永远不信任用户的提交内容
- 不要将用户提交内容直接转换成DOM
2.工具
- 前端
- 主流框架默认防御XSS
- google-cLosure-library
- 服务端(Node)
- DOMPurify
3.Content Security Policy(CSP)
- 哪些源(域名)被认为是安全的
- 来自安全源的脚本可以执行,否则直接抛错
- 对eval + inline script说不
二、CSRF防御
- 限制来源
- 避免用户信息被携带: SameSite Cookie
三、Injection防御
- 找到项目中查询SQL的地方,使用prepared statement
- 最小权限原则
- 建立允许名单+过滤
- 对URL类型参数进行协议、域名、ip等限制
四、DoS防御
- Code Review
- 代码扫描+正则性能测试
- 拒绝用户提供的使用正则
- 限制流量
- 快速自动扩容
- 非核心服务器降级
五、中间人防御
- 使用HTTPS
- 可靠性:加密
- 完整性:MAC 验证
- 不可抵赖性:数字签名
- HTTP Strict-Transport-Security (HSTS)
- Subresource Integrity (SRI)
以上就是我总结的第六节课的内容了,内容有疏漏还请见谅,有错误还请指正。这节课的知识点比较零碎,整理可能不全,大家可以去反复听老师的讲解,希望我们一起进步,顺利结营!
