这是我参与「第四届青训营 」笔记创作活动的的第10天
攻击篇
XSS (跨站脚本攻击)
简介
- 一般存在于form提交表单之中
- 攻击者通过一种方式将恶意脚本注入到页面完成攻击
- 后果可能导致用户隐私泄露,或者用户机器被当作挖矿的机器
特点
- 暗地执行脚本,不易被发现
- 窃取用户信息(cookie/token)
- 绘制UI,诱导用户点击上钩
1.存储型XSS(Stored XSS)
特点
- 恶意脚本被存在数据库中
- 当用户访问页面的时候 - 后台读取数据 - 恶意脚本被执行 - 完成攻击
- 危害最大,对全部用户可见
反射型XSS (Reflected XSS)
特点
- 不涉及数据库
- 从URL上攻击(攻击者在URL query参数上插入恶意script标签,服务器代码会从用户请求的query中读取这个字段,并把此字段生成在HTML文档中,当用户访问页面的时候,完成一次攻击)
DOM-based XSS
特点
- 不需要服务器的参与
- 恶意攻击的发起和执行全部发生在浏览器中
Mutation-based XSS
特点
- 利用浏览器渲染DOM的特性
- 按浏览器攻击(不同浏览器,会有区别)
- 攻击者较了解服务器的渲染过程,从而找到漏洞
CSRF (跨站伪造请求)
特点
- 在用户不知情的情况下
- 利用用户权限(cookie)
- 构造指定HTTP请求,窃取或修改用户敏感信息
例:用户点击一个链接,访问了一个恶意页面,在这个恶意页面中攻击者构造了一个HTTP请求,比如向银行发起一个转账,银行服务器收到请求,发现请求上有用户的cookie并且验证成功,执行转账并返回结果。
SSRF (服务器伪造请求)
SSRF是由攻击者构造请求,由服务器发起的请求安全漏洞。
- 请求用户自定义的callback URL
- web server通常有内网访问权限
SQL注入
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,修改或者删除数据。
DDOS (分布式拒绝服务攻击)
DDOS其原理就是利用僵尸服务器向指定服务器发送大量请求,造成资源过载,导致服务器宕机。
特点
- 直接访问IP
- 任意API
- 消耗大量带宽
攻击者向指定服务器发送大量
TCP请求,在TCP三次握手中攻击者向指定服务器发送SYN报文,指定服务器向攻击者返回ACK+SYN报文,完成第二次握手,但是攻击者不响应第三次握手,从而导致服务器资源被消耗
中间人攻击
特点
- 明文传输
- 信息篡改不可知
- 对方身份未验证
防御篇
XSS防御
- 永远不信任用户提交的内容
- 不要将用户提供的内容转换成DOM
防御策略
- 前端
- 主流框架(vue react)默认防御XSS
- goole-closure-library
- 后端(Node)
- DOMPurify
CSRF防御
如果请求来自合法页面 -> 服务器接收页面请求并标记,否则拒绝请求并报错
SQL注入防御
- 最小权限原则
- 建立允许名单 + 过滤
- 对URL参数进行协议,域名,ip等的限制
DDOS防御
- 流量治理
-
- 负载均衡
-
- API网关
-
- CDN
- 快速自动扩容
- 非核心服务降级
