Web 开发的安全之旅 | 青训营笔记

灯火星河
57 阅读3分钟

Web 开发的安全之旅 | 青训营笔记

这是我参与「第四届青训营 」笔记创作活动的的第6天

两个角度看web安全,一个是攻击角度,一个是防御角度

攻击篇

  • XSS

Cross-Site Scripting(XSS),跨站脚本攻击

image-20220803162336513.png

XSS主要利用了

image-20220803163112763.png

XSS 的特点

  • 通常难以从UI 上感知(暗地执行脚本)
  • 窃取用户信息(cookie/token)
  • 绘制UI(例如弹窗),诱骗用户点击/填写表单

image-20220803164332558.png

image-20220803164343963.png

XSS的分类

1、Stored XSS 存储型XSS

  • 恶意脚本被存放在数据库中
  • 访问页面 -> 读数据 == 被攻击
  • 危害最大,对全部用户可见

2、Reflected XSS 反射型XSS

  • 不涉及数据库
  • 从 URL 上攻击

image-20220803165221082.png

3、DOM -based XSS DOM型XSS

  • 不需要服务器的参与
  • 恶意攻击的发起 + 执行,全在浏览器完成

image-20220803165318553.png

4、Mutation-based XSS

  • 利用了浏览器渲染DOM的特性(独特优化)
  • 不同浏览器,会有区别(按浏览器进行攻击)

image-20220803165636833.png

  • CSRF

Cross-site request forgery,跨站伪造请求

特点

  • 在用户不知情的前提下
  • 利用用户权限(cookie)
  • 构造指定HTTP请求,窃取或修改用户敏感信息

image-20220803165916853.png

 //GET
 <a href="https://bank.com/tranfer?to=hacker&amount=100">点我抽奖</a>
 <!-- 确实中奖了 -->
 ​
 <img style="display:none;"  src="https://bank.com/tranfer?to=hacker&amount=100" />

 //beyond GET
 <form action="https://bank/transfer_tons_of_money"  method="POST">
   <input name="amount"  value="1000000000" type="hidden" />
   <input name="to"  value="hacker" type="hidden" />
 </form>  
  • SQL注入

数据库注入

image-20220803170614814.png

image-20220803170652928.png

image-20220803170708123.png

Injection 不止SQL

  • CLI

  • OS command

  • Server-Side Request Forgery(SSRF),服务端伪造请求

    • 严格而言,SSRF不是Injection ,但是原理类似
  • SSRF

image-20220803170944963.png

  • DoS

通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应

  • 插播:正则表达式——贪婪模式

    重复匹配时[?] vs [no?] : 满足“一个”即可 vs 尽量多

    image-20220803171241430.png

DoS的分类

1、ReDoS : 基于正则表达式的DoS

贪婪:n次不行?n-1次再试试?——回溯

image-20220803171522899.png

2、Logical DoS

  • 耗时的同步操作
  • 数据库写入
  • SQL join
  • 文件备份
  • 循环执行逻辑

举例

image-20220803171612453.png

3、Distributed DoS(DDoS)

短时间内,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求。

攻击特点

  • 直接访问IP
  • 任意API
  • 消耗大量带宽(耗尽)

举例

image-20220803171918227.png

  • 中间人攻击

image-20220803171942313.png

防御篇

  • XSS
    • 永远不信任用户的提交内容
    • 不要将用户提交内容直接转换成DOM

    现成工具

    前端

    • 主流框架默认防御 XSS
    • google-closure-library

    服务端(Node)

    • DOMPurify
  • CSP

    Content Security Policy

    • 哪些源(域名)被认为是安全的
    • 来自安全源的脚本可以执行,否则直接抛错
    • 对 eval + inline script 说 no!

    image-20220803180327030.png

  • CSRF的防御

image-20220803180429527.png

token防护

image-20220803180504851.png

image-20220803180512429.png

  • SameSite Cookie

避免用户信息被携带

image-20220803180915523.png

image-20220803180927047.png

SameSite vs CORS

image-20220803181006505.png

  • Injection SQL防护

    • 最小权限原则

      • 避免使用 sudo || root

    • 建立允许名单 + 过滤

      • 拒绝rm

    • 对 URL 类型参数进行协议、域名、ip 等限制

      • 拒绝访问内网操作
  • 防范DoS

    • Regex DoS

      • 代码扫描 + 正则性能测试
      • 拒绝用户提供的使用正则

    • Logical DoS

      • 不是非黑即白

        • 有些case ,只有在请求量达到一定程度后才会体现

      • 分析代码中的性能瓶颈

        • 同步调用
        • 串行逻辑
        • CPU 密集型操作

      • 限流

    • DDoS

      image-20220803182308449.png

    • 传输层——防御中间人

      image-20220803182429857.png

      HTTPS 的一些特性

      • 可靠性:加密

      image-20220803182553493.png

      • 完整性:MAC,验证

      image-20220803182631941.png

      • 不可抵赖性:数字签名

      image-20220803182631941.png

总结

本次课程我学习到了关于web开发需要知道的一些安全知识,包括攻击和防御方面,这些我之前没有怎么接触过,通过这节课我学到了很多,而且也认识到安全无小事,需要保持谨慎注意时刻学习的心态

avatar
文章
阅读
粉丝