这是我参与「第五届青训营 」伴学笔记创作活动的第 12 天
前言
Web安全,一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,Web安全威胁也越来越大,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
Web安全
提到Web安全,那我们就要从两个方面来看
- 假如你是一个hacker——攻击
- 假如你是一个开发者——防御
1. 攻击方面
1.2 Cross-Site Scripting(XSS)
XSS主要组成
- 盲目信任用户提交的内容
- string >DOM
- document.write
- element .innerHTML = anyString;
- SSR(user_data) M/伪代码
XSS的一些特点
- 通常难以从UI上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI(例如弹窗),诱骗用户点击/填写表单
stored XSS
- 恶意脚本被存在数据库中
- 访问页面→读数据 = 被攻击
- 危害最大,对全部用户可见
ReFlected XSS
- 不涉及数据库
- 从URL 上攻击
DOM-based XSS
- 不需要服务器的参与
- 恶意攻击的发起+执行,全在浏览器完成
Mutation-based xsS
- 利用了浏览器渲染DOM的特性(独特优化)
- 不同浏览器,会有区别(按浏览器进行攻击)
1.3 Cross-site request forgery(CSRF)
- 在用户不知情的前提下
- 利用用户权限(cookie)
- 构造指定HTTP请求,窃取或修改用户敏感信息
1.4 SQL Injection
- 第一步:请求——恶意注入SQL参数
- 第二步:Server
- 参数->SQL
- 运行 SQL code
- 获取其他数据、修改数据、删除数据 ...
1.5 Denial of Service(DoS)
1.6 Distributed DoS(DDoS)
通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压 ,进而雪崩效应。
攻击特点
- 直接访问IP
- 任意API
- 消耗大量带宽(耗尽)
1.7 中间人攻击
通过一个中间人,在Browser和Srever之间进行窃取信息,修改请求、返回等
2.防御方面
1. XSS
- 永远不信任用户的提交内容
- 不要将用户提交内容直接转换成 DOM
1.1 XSS的现成工具
- 前端
- 主流框架默认防御XSS
- google-closure-library
- 服务端
- DOMPurify
2. 防御 CSRF 的正确姿势
- if伪造请求异常来源
- then限制请求来源>限制伪造请求
- Origin
-
- 同源请求中,GET + HEAD 不发送
- Referer
3. 防御 DoS
Logic DoS,Regex DoS,DDos
4. 防御 Injection
- 找到项目中查询 SQL的地方
- 使用prepared statement
5. 防御中间人
传输层防御中间人,所以我们要对HTTPS了解较为清楚
写在结尾
安全无小事,关于web安全还有许多知识等待着去学习,再接再厉!
