这是我参与「第五届青训营 」伴学笔记创作活动的第 10 天
攻击篇
Cross-Site Scripting(xSS)特性
- 通常难以从UI上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI(例如弹窗),诱骗用户点击/填写表单
-
Reflected xSS:不涉及数据库,从URL 上攻击
-
DOM-based XSS:不需要服务器的参与,恶意攻击的发起+执行,全在浏览器完成
-
Cross-site request forgery(CSRF):在用户不知情的前提下,利用用户权限(cookie),构造指定HTTP请求,窃取或修改用户敏感信息
-
中间人攻击 主要原因:明文传输、信息篡改不可知、对方身份未验证
防御篇
- 永远不信任用户的提交内容
- 不要将用户提交内容直接转换成DOM
前端
- 主流框架默认防御XSS,如vue、react
- google-closure-library 服务端(Node):DOMPurify
用户需求,必须动态生成dom时,一定要注意:
- string->DOM
- 上次svg(可能会携带xss)
- 自定义跳转连接(可能会返回不安全信息)
- 自定义样式(可能会携带不合法请求/响应)
Content Security Policy(CSP)
- 哪些源(域名)被认为是安全的
- 来自安全源的脚本可以执行,否则直接抛错
- 对eval + inline script说no
CSRF的防御 采用 token,对于token来说:
- 用户绑定:攻击者也可以是注册用户===可以获取自己的token
- 过期时间:前向保密
避免用户信息被携带:SameSite Cookie
injection防御:
- 找到项目中查询sQL的地方
- 使用prepared statement 不是SQL的注入攻击:
- 最小权限原则
- 建立允许名单+过滤
- 对URL类型参数进行协议、域名、ip等限制-避免访问内网
中间人防御:
对于https:
- 可靠性:加密——不是明文
- 完整性:MAC验证——不会被篡改
- 不可抵赖性:数字签名——身份√
对于https,接收方会再次计算哈希值进行验证
