这是我参与「第五届青训营 」伴学笔记创作活动的第 11 天。
1.攻击
Cross-Site Scripting(XSS)
XSS的一些特点
- 通常难以从UI上感知(暗地里执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI(例如弹窗),诱骗用户点击/填写表单
XSS demo
可以直接提交用户脚本
Stored XSS
Reflected XSS
Reflected XSS demo
DOM-based XSS
DOM-based XSS Demo
Reflected vs Dom-based
Mutation-based XSS
Cross-site request forgery(CSRF)
- 在用户不知情前提下
- 利用用户权限(cookie)
- 构造指定HTTP请求,窃取或修改用户敏感信息
CSRF demo
CSRF——GET
SQL注入
注入 demo 1
注入不止于SQL
- CLI
- OS commmand
- Server-Side Requerst Forgery(SSRF),服务端伪造请求
- 严格而言,SSRF不是注入,但是原理类似
注入 demo 2
- 执行
- 读取+修改
SSRF demo
DoS
通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应。
正则表达式——贪婪模式】 重复匹配时「?」vs 'no ?」︰满足“一个“即可vs尽量多
ReDoS:基于正则表达式的DoS 贪婪:n次不行? n -1次再试试?——回溯
Distributed DoS(DDoS) 短时间内,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求。
「不搞复杂的,量大就完事儿了」 Logical DoS
- 耗时的同步操作
- 数据库写入
- sQL join
- 文件备份-循环执行逻辑 DDoS demo
2. 防御
- 永远不信任用户的提交内容
- 不要将用户提交内容直接转换成 DOM
XSS——现成工具
前端
- 主流框架默认防御XSS
- google-closure-library
服务端(Node)
- DOMPurify
CSRF的防御
Refex DoS
DDoS
