Web 开发的安全之旅|青训营笔记

rabbit全站
89 阅读5分钟

这是我参与「第五届青训营」伴学笔记创作活动的第11天,Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为。如植入恶意代码,修改网站权限,获取网站用户隐私信息等等。Web应用程序的安全性是任何基于Web业务的重要组成部分。确保Web应用程序安全十分重要,即使是代码中很小的 bug 也有可能导致隐私信息被泄露。站点安全就是为保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践。 我们常见的Web攻击方式有:

  1. XSS (Cross Site Scripting) 跨站脚本攻击
  2. CSRF(Cross-site request forgery)跨站请求伪造
  3. SQL注入攻击
  • XSS,跨站脚本攻击,允许攻击者将恶意代码植入到提供给其它用户使用的页面中,XSS涉及到三方,即攻击者、客户端与Web应用,XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后,攻击者甚至可以假冒合法用户与网站进行交互。 
    1. 存储型 XSS 的攻击步骤:
      攻击者将恶意代码提交到目标网站的数据库中,用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器,用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行,恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
      这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等
    2. 反射型 XSS
      攻击者构造出特殊的 URL,其中包含恶意代码 用户打开带有恶意代码的 URL 时,网站服务端将恶意代码从 URL 中取出,拼接在 HTML 中返回给浏览器,用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行,恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
      反射型 XSS 跟存储型 XSS 的区别是:存储型 XSS 的恶意代码存在数据库里,反射型 XSS 的恶意代码存在 URL 里。反射型 XSS 漏洞常见于通过 URL 传递参数的功能,如网站搜索、跳转等。
      由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击。 POST 的内容也可以触发反射型 XSS,只不过其触发条件比较苛刻(需要构造表单提交页面,并引导用户点击),所以非常少见
    3.  DOM 型 XSS
      攻击者构造出特殊的 URL,其中包含恶意代码 用户打开带有恶意代码的 URL 用户浏览器接收到响应后解析执行,前端 JavaScript 取出 URL 中的恶意代码并执行 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
      DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前端 JavaScript 自身的安全漏洞,而其他两种 XSS 都属于服务端的安全漏洞
  • CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求 利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
    一个典型的CSRF攻击有着如下的流程:
    1. 受害者登录a.com,并保留了登录凭证(Cookie)
    2. 攻击者引诱受害者访问了b.com
    3. b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie
    4. a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求
    5. a.com以受害者的名义执行了act=xx
    6. 攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作
  • Sql 注入攻击,是通过将恶意的 Sql查询或添加语句插入到应用的输入参数中,再在后台 Sql服务器上解析执行进行的攻击。 流程如下所示:
    1. 找出SQL漏洞的注入点
    2. 判断数据库的类型以及版本
    3. 猜解用户名和密码
    4. 利用工具查找Web后台管理入口
    5. 入侵和破坏
  • 预防攻击

    1. XSS的预防

      XSS攻击的有两大要素:攻击者提交了恶意代码和浏览器执行恶意代码。针对第一个要素,我们在用户输入的过程中,过滤掉用户输入的恶劣代码,然后提交给后端,但是如果攻击者绕开前端请求,直接构造请求就不能预防了。而如果在后端写入数据库前,对输入进行过滤,然后把内容给前端,但是这个内容在不同地方就会有不同显示。

    2. CSRF的预防

      CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。
      防止csrf常用方案如下:

      1. 阻止不明外域的访问
        • 同源检测
        • Samesite Cookie
      2. 提交时要求附加本域才能获取的信息
        • CSRF Token
        • 双重Cookie验证

    3. 预防方式如下:

      • 严格检查输入变量的类型和格式
      • 过滤和转义特殊字符
      • 对访问数据库的Web应用程序采用Web应用防火墙
avatar
文章
阅读
粉丝