这是我参与「第五届青训营 」伴学笔记创作活动的第12天。
攻击篇
网络安全问题在生活中很常见,可能会危害用户设备、公司隐私以及会影响开发此程序的程序员。
跨站脚本攻击XSS
XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者用户可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。这类攻击通常包含了HTML以及用户端脚本语言。
- 通常难以从 UI 上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI(例如弹窗),诱骗用户点击/填写表单
Stored XSS——存储型的XSS攻击
- 恶意脚本被存在数据库中
- 访问页面—>读数据==被攻击
- 危害最大,对全部用户可见
Reflected反射型——XSS攻击
- 不涉及数据库
- 从URL上攻击
- (服务端注入脚本))
DOM-based XSS——基于DOM的XSS攻击
- 不需要服务器的参与
- 恶意攻击的发起+执行,全在浏览器完成
- (浏览器端注入脚本)
Mutation-based XSS——基于Mutation的XSS攻击
- 利用了浏览器渲染DOM的特性(独特优化)
- 不同浏览器,会有区别(按浏览器进行攻击)
- (最难防御的一种)
CSRF(Cross-site request forgery)——跨站伪造请求
- 在用户不知情的前提下
- 利用用户权限(cookie)
- 构造指定HTTP请求,窃取或修改用户敏感信息
Injection——注入
- 请求SQL参数(恶意注入)==>Server:参数—>SQL、运行SQL code==>获取其他数据、修改数据、删除数据
——————
- Injection 不止于 SQL
- CLI
- OS command
- Server-Side Request Forgery(SSRF),服务端伪造请求
- 严格而言,SSRF不是injection,但是原理类似
Denial of Service(DoS)——基于正则表达式的DoS
通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应。
- 耗时的同步操作
- 数据库写入
- SQL join
- 文件备份
- 循环执行逻辑
贪婪匹配和非贪婪匹配、回溯
- 贪婪匹配是尽可能匹配多的字符,非贪婪匹配就是尽叮能匹配少的字符。
- 回溯法是一种选优搜索法,按选优条件向前搜索,以达到目标。但当探索到某一步时,发现原先选择并不优或达不到目标,就退回一步重新选择
中间人攻击
- 明文传输
- 信息篡改不可知
- 对方身份未验证
防御篇
- 永远不信任用户的提交内容
- 不要将用户提交内容直接转换成DOM
防御工具
- 前端
- 主流框架默认防御XSS
- google-closure-library
- 服务端(Node)
- DOMPurify
1.String生成DOM
new DOMParser();
对String进行转义
2.上传 svg
对文件进行扫描
3.Blob动态生成script
const blob = new Blob( [script], { type:"text/javascript"}, ); const url = new URL.createObjectURL(blob); const script = document.createElement("script"); script.src = url;
做好过滤
CSP——内容安全策略
-
哪些源(域名)被认为是安全的
-
来自安全源的脚本可以执行,否则直接抛错
-
对eval+inlinescript直接拒绝
-
if伪造请求==异常来源
-
then限制请求来源-->限制伪造请求
-
Origin
-
同源请求中,GET+HEAD 不发送
-
Referer
SameSite
- Cookie发送
- domain vs页面域名
- "我跟你说个事儿,出这屋我可就不认了"
CORS
- 资源读写(HTTP请求)
- 资源域名vs页面域名
- 白名单
Injection beyond SQL
- 最小权限原则 不使用sudo||root
- 建立允许名单+过滤 不使用 rm
- 对URL类型参数进行协议、域名、ip等限制 不使用访问内网
Regex DoS
- Code Review (不使用/(ab*)+/)
- 代码扫描+正则性能测试
- 不使用用户提供的使用正则
DDOS
- 流量治理
- 负载均衡
- API 网关
- CDN
- 快速自动扩容
- 非核心服务降级
HTTPS的一些特性
- 可靠性:加密
- 完整性:MAC验证
- 不可抵赖性:数字签名
