这是我参与「第四届青训营 」笔记创作活动的的第10天
两个角度看web安全
攻击篇 - 假如你是一个黑客
-
Cross-Site Scripting(XSS)跨站脚本攻击
- XSS主要利用的两个方法
- 开发者盲目信任用户提交的内容
- 用户直接把字符串提交给DOM
- XSS的特点
- 通常难以从UI上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI(例如弹窗),诱骗用户点击/填写表单
- XSS demo
- XSS的分类
- Stored XSS 存储型XSS攻击
- 恶意脚本被存储在数据库中
- 访问页面 → 读数据 === 被攻击
- 危害最大,对全部用户可见
- Reflected XSS 反射型XSS攻击
- 不涉及数据库
- 完全从URL上进行攻击
- Dom-based XSS
- 不需要服务器参与
- 恶意攻击的发起+执行,全在浏览器完成
- Reflected vs DOM-based
- 完成脚本注入的地方
- 完成脚本注入的地方
- Mutation-based XSS
- 利用了浏览器渲染DOM的特性(独特优化)
- 不同浏览器,会有区别(按浏览器进行攻击)
- Cross-site request forgery(CSRF)
- 在用户不知情的前提下
- 利用用户权限(cookie)
- 构造指定HTTP请求,窃取或修改用户敏感信息
- Get请求
- beyond Get
- Stored XSS 存储型XSS攻击
- XSS主要利用的两个方法
-
SQL Injection 注入
- demo
黑客攻击
- 注入远不止于SQL
- CLI
- OS command
- Server-Side Requested Forgery(SSRF),服务端伪造请求
- 严格而言,SSRF不是注入,但是原理类似
- Injection demo 1
- 视频转换
黑客攻击
- 视频转换
- Injection demo 2 读取+修改
- SSRF demo
- demo
-
DoS
通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求被挤压,进而雪崩效应。- 基于正则表达式的DoS
- Distributed DoS
- 短时间内,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求
- 通俗的说:不搞复杂的,量大就完事
- 攻击特点
- 直接访问IP
- 任意API
- 主要消耗单宽(耗尽)
- 基于正则表达式的DoS
-
正则表达式的贪婪模式
- 重复匹配时一个问号 和 多个问号:满足一个即可 和 满足多个
- 重复匹配时一个问号 和 多个问号:满足一个即可 和 满足多个
-
传输层
- 中间人攻击
- 中间人攻击
防御篇 - 假如你是一个开发者
- 防御XSS
- 永远不信任用户的提交内容
- 不要将用户提交内容直接转换成DOM
- XSS-现成工具
- 前端
- 主流框架默认防御XSS
- google-closure-library
- 服务端(Node)
- DOMPurify
- 前端
- Same-origin Policy 同源策略
- 协议、域名、端口相同
- example.com != example.com != sub.example.com 均不同源
- 协议、域名、端口相同
- Content Security Policy(CSP) 内容安全策略
- 哪些源(域名)被认为是安全的
- 来自安全源的脚本可以执行,否则直接抛错
- 对eval+inline script报错
- CSRF的防御
- CSRF-token
- CSRF-token
- 防御Injection
- 找到项目中查询 SQL的地方
- 使用prepared statement
- Injection beyond SQL
- 最小权限原则
- sudo || root
- 建立允许名单 + 过滤
- rm
- 对URL类型参数进行协议、域名、ip等限制
- 访问内网
- 最小权限原则
- 防御Regex DoS 正则DoS攻击
- 避免贪婪模式
- 代码扫描+正则性能测试
- 拒绝用户提供的正则
- 防御DDoS
- 传输层-防御中间人
- HTTPS
- HTTPS特点
- 可靠性:加密,避免明文
- 完整性:MAC验证,避免篡改
- 不可抵赖性:数字签名,身份
- HTTPS的TLS过程
