这是我参与「第五届青训营 」笔记创作活动的第12天
tip:在网络时代下,Web 安全随处可见并且危害极大,Web 安全问题也越来越受到重视。
攻击篇:
XSS(Cross-Site Scripting)
最简单的攻击方式就是XSS(跨域脚本注入),攻击方把恶意的脚本注入我们的网站进行活动。
- 开发者盲目地信任了用户提交的内容
- 开发者把内容转化为DOM
特点:
- 难于从UI感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI,骗取用户填写资料
XSS Dome:
当用户上传东西的时候,可以上传一个带有script标签的东西,根据功能不同,可以分为存储型、反射型(服务端注入)、基于DOM的XSS攻击(浏览器注入)和基于Mutation的XSS攻击。
CSRF(Cross-site request forgery)
CSRF(跨站伪造请求)。利用了用户的数据伪造了请求,从而修改了用户的数据。
CSRT Demo:
注入(Injection)
利用数据库的恶意注入,通过前端的脚本把用户输入的东西拼接成数据库语句。不过你也可以在其他的地方注入,比如系统命令行注入等。 注入 Demo:
达成删库跑路的成就
DoS
通过构造特定请求,来让服务端无法处理大量请求,导致正常的请求无法被处理甚至宕机。
DDos
这种就和上面不一样了,这是利用僵尸设备发送正确的请求,从而消耗服务器的带宽,达到攻击的目的。
DDos Demo:
中间人攻击方式
防御方式
针对XSS
永远不信任用户的提交内容,更不要把用户的提交内容直接转成DOM。
- 目前的主流框架都默认防御这种攻击。不过如果真有这种需求的话,就需要对对应的文件进行扫描了。也不要让用户自定义跳转链接。
CSRF的防御策略
- 需要设定哪些域名是安全的,对于对服务端来说不安全的域名我们直接拒绝访问。在所有接口中对请求进行校验,否则就拒绝。
- 我们还可以用SameSite Cookie属性,来防止其他页面带上该页面的cookie。
对于SQL注入的防御
- 那对于这种数据库形式的攻击,要保证最小权限原则,并且建立允许名单+过滤,并对于URL类型参数进行协议等限制。
对于DOS的防御
- 那么很简单,对于正则表达式需要进行检查,或者干脆直接禁用用户使用正则表达式就可以了。
DDOS
-
可以在网关层进行恶意流量识别,也可以在CDN进行过滤。一旦被流量攻击,我们可以使用快速自动扩容技术抵御攻击。
