这是我参与「第四届青训营 」笔记创作活动的第6天
假如你是一个攻击者
Cross-Site Scripting(XSS) 导致:用户可能隐私泄露或者用户机器变成挖矿机器
特点
- 通常难以从UI上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制ui(例如弹窗),诱骗用户点击/填写表单
XSS demo
没有对用户提交数据进行过滤,就可以直接提交恶意脚本😈
XSS攻击按照性质分成
存储型
Stored XSS
- 恶意脚本被存在数据库中
- 访问页面——>读数据≡被攻击
- 危害最大,对全部用户可见
反射型
Reflected XSS 不涉及到数据库,完全从URL上进行攻击
DOM-based XSS
- 不需要服务器的参与
- 恶意攻击的发起+执行,全在浏览器完成
基于Mutation的攻击
- 利用浏览器渲染DOM的特性(独特优化)
- 不同浏览器,会有区别(按浏览器进行攻击) 最难防御的一种方式
Cross-site request forgery
- 在用户不知情的前提下
- 利用用户权限(cookie)
- 构造指定HTTP请求,窃取或修改用户敏感信息
Injection 注入
SQL Injection
Injection不止SQL
- CLI
- OS command
- Server-Side Rrequest Forgery(SSRF),服务端伪造请求
- 严格而言,SSRF并不是injection,但是原理类似
Denial of Service(Dos)
通过某种方式构造特定请求,导致服务器资源被显著小号,来不及响应更多请求,导致请求被挤压,进而雪崩效应
第一行就是典型贪婪模式匹配
ReDoS
Distributed DoS
短时间类,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求
攻击特点
- 直接访问IP
- 任意API
- 消耗大量带宽
传输层
中间人攻击
从防御角度
针对XSS
- 永远不信任用户的提交内容
- 不要将用户提交内容直接转换成DOM
前端
- 主流框架默认防御XSS
- google-closure-library,也提供了很完善的XSS防御函数 服务器段(Node)
- DOMPurify
CSRF ——token
攻击者可以是注册用户,所以token要和用户绑定,另外token要有一个过期时间
