web安全之旅 | 青训营笔记

我叫敢敢
88 阅读2分钟

这是我参与「第四届青训营 」笔记创作活动的的第3天

让我们开启web安全之旅吧

1.分类

攻击者角度--hacker

攻击篇

1.跨站脚本攻击--Cross-site Scripting(XSS)

image.png

image.png

image.png

1.特点
  1. 通常难以从UI上感知(暗地执行脚本)
  2. 窃取用户信息(cookie/token)
  3. 绘制UI(例如弹窗),诱骗用户点击/提交表单
2.分类

1. Stored XSS

  • 恶意脚本被存在数据库中
  • 访问页面->读数据->被攻击
  • 危害最大,对全部用户可见

2. Reflected XSS

  • 不涉及数据库
  • 从URL上进行攻击

image.png

host/path?param=<script>alert('123')</script>
public async render(ctx){
    const {param} = ctx.query;
    ctx.status = 200;
    ctx.body = '<div>${param}</div>
}

3. DOM-based XSS

  • 不需要服务器的参与
  • 恶意攻击的发起+执行,全在浏览器完成

image.png

host/path?param=<script>alert('123')</script>
const content = new URL(location.href).searchParams.get("param");
const div = document.createElement("div");
div.innerHTML = content;
document.body.append(div);

4. Mutation-based XSS

  • 利用了浏览器渲染DOM的特性(独特优化)
  • 不同浏览器会有区别(按浏览器进行攻击)
2.跨站伪造请求--Cross-site request forgery(CSRF)--在用户不知情的前提下,利用用户权限(cookie),构造指定HTTP请求,窃取或修改用户敏感信息

image.png

CSRF-GET
<a href="https://bank.com/transfer?to=hacker&amount=100">点我抽奖</a>
<img style="display:none;" src="https://bank.com/transfer?to=hacker&amount=100"/>
CSRF-beyond GET
<form action="https://bank/transfer_tons_of_money" method="POST>
    <input name="amount" value="10000000000000" type="hidden"/>
    <input name="to" value="hacker" type="hidden"/>
</form>
Injection--注入

1.SQL Injection

image.png

#读取请求字段
#直接以字符串的形式拼接SQL语句
public async renderForm(ctx){
    const {username,form_id} = ctx.query;
    const result = await sql.query(
        'SELECT a,b,c FROM table
        WHERE username = ${username}
        AND form_id = ${form_id}');
        ctx.body = renderForm(result);
}

image.png

2.CLI

3.OS Command

demo1

image.png

demo2

image.png

4.Server-Side Reuquest Forgery(SSRF)--服务端伪造请求

image.png

3、Denial of Service(Dos)--通过某方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应。

1.ReDos--基于正则表达式的Dos 正则表达式--贪婪模式(重复匹配时【?】vs 【no ?】:满足“一个”即可 vs 尽量多)

image.png

image.png

2.Logical Dos

  • 耗时的同步操作
  • 数据库写入
  • SQL join
  • 文件备份
  • 循环执行逻辑
  1. Distributed Dos(DDos)--短时间内,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求。
  • 直接访问IP
  • 任意API
  • 消耗大量带宽(耗尽)
4、传输层攻击方式--中间人攻击

image.png

  • 明文传输
  • 信息篡改不可知
  • 对方身份未验证

防御者角度--开发者

1、防御CSS

image.png

防御工具

1、前端 -主流框架默认防御XSS -goole-closure-library

2、服务端 -DOMPurity

可能产生XSS攻击 1、string->DOM

image.png

2、上传svg

image.png

3、Blob动态生成script

image.png

4、自定义跳转链接

image.png

5、自定义样式

image.png

2、Content Security Policy(CSP)

image.png

Same-origin Policy

3、CSRF防御

1、 image.png

2、CSRF--token

image.png

3、CSRF--iframe攻击

image.png

4、CSRF anti-pattern

image.png

5、避免用户信息被携带--SameSite Cookie

image.png

image.png

image.png

image.png

4、Injection注入防御

1、SQL注入防御 image.png

2、Injection beyond SQL

image.png

5、Dos防御

1、Regex Dos

image.png

2、Logical Dos

image.png

3、DDos

image.png

6、传输层--防御中间人攻击

image.png

avatar
文章
阅读
粉丝