这是我参与「第五届青训营 」伴学笔记创作活动的第 16 天
本课内容概要
- 常见攻击
本课重点内容
- XSS注入
当用户向安全内容注入了XSS,那么就可能调整了页面的结构,威胁前端的安全性能。
一般的需要防范的地方诸如:提交表单、用户提交内容、评论区等
难点与痛点:
- 通常在UI层面上难以感知
- 容易窃取用户的隐私信息(特别是cookie和token)
- 诱导用户进行不安全的点击触发等事件
危险片段:
-
未对内容进行过滤,上传了html代码
-
恶意提交脚本
Stored XSS如果XSS被存储在数据库中,那么在用户访问页面时,就是读了数据,也就被攻击了。其危害很大!对所有用户可见
Reflect XSS:不涉及数据库,而是从URL上攻击
DOM-bases XSS:恶意攻击于浏览器。在浏览器攻击
解决方案:
抖音在评论区内限制输入带有
<>的字样
- CSRF 在用户不知情的情况下,利用用户的权限(cookie),构造指定的HTTP请求,窃取或者修改用户的敏感信息。
- 注入
SQL层面
直接进行数据库的注入,可以删库跑路(达咩)
转发层面
将真实流量转发到第三方,第三方扛不住就挂掉
- DDOS
构造特定请求,导致服务器资源被耗尽,请求积压,雪崩效应。
常见比如:耗时间的同步操作、数据库写入、join、文件备份、循环请求、大量僵尸设备请求
- 中间人攻击
控制路由器、ISP等内容来窃取信息修改请求
