这是我参与「第四届青训营 」笔记创作活动的第2天
攻击篇
XSS攻击
不涉及数据库,从URL上攻击
改代码将用户读取的字段生成html片段,如果攻击者将字段构造成恶意的script标签,那么用户访问页面时就会命中XSS攻击!
不需要服务器的参与,恶意攻击的放弃执行完全再在浏览器中完成
在浏览器中从URL读取指定参数,然后创建html标签并插入。
反射型XSS攻击恶意脚本在server(服务端)进行注入,基于DOM的恶意脚本由浏览器完成闭环。
Mutation-based XSS
error事件回调触发XSS攻击
Cross-site request forgery跨站请求伪造
CSRF指恶意网站通过脚本向当前用户浏览器打开的页面URL发起恶意攻击。在用户不知情的前提下,利用用户权限(cookie),构造指定HTTP请求,窃取或修改用户敏感信息。
跨站伪造请求:
点击连接,图片加载:
post跨站伪造请求:
sql注入:
当视频格式转换接受用户传入option参数时若未进行过滤时,攻击者可以把option字段传入系统命令,若服务器执行命令后会将服务器文件删除。
若攻击者能修改nginx代理请求,则会将请求发送至另一个服务端口
Denial of Service(DOS)
服务拒绝是攻击者通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更对请求,导致请求挤压,进而雪崩效应。
正则表达式的贪婪模式:具体指我们在写正则的时候是否使用问号,使用的话即满足一个即可,不使用的话就是贪婪模式尽可能多的匹配
因为存在贪婪模式所以攻击者会进行匹配n次->n-1次的回溯行为
Distributed DoS(DDoS)
分布式拒绝服务攻击,在短时间内,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求。
攻击特点:
- 直接访问IP
- 任意API
- 消耗大量宽带
中间人攻击
防御篇
XSS
- 永远不信任用户的提交内容
- 不要将用于提交内容直接转换为DOM
CSP
- 哪些源(域名)被认为是安全的
- 来自安全源的脚本可以执行,佛负责直接跑错。对脚本进行限制
- 对eval+inline script拒绝
CSRF
如果伪造请求为异常来源,那么可以限制请求来源和限制伪造请求;
-
对Origin或者Referer进行校验
-
如果一个请求来自于合法页面,那么服务器接收过页面请求进行标识
例如一个token请求:
