「Web 开发的安全之旅|青训营笔记」

2023-02-06 58 阅读3分钟

这是我参与「第五届青训营」伴学笔记创作活动的第 23 天。

今日内容：

两个角度看 Web 安全

假如你是一个 hacker —— 攻击
假如你是一个开发者 —— 防御

攻击篇

Cross-Site Scripting（XSS）

特点：

通常难以从 UI 上感知（暗地执行脚本）
窃取用户信息（cookie/token）
绘制 UI（例如弹窗），诱骗用户点击/填写表单

Stored XSS

恶意脚本被存在数据库中
访问页面 -> 读数据 === 被攻击
危害最大，对全部用户可见

Reflected XSS

不涉及数据库
从 URL 上攻击

DOM-based XSS

不需要服务器的参与
恶意攻击的发起 + 执行，全在浏览器完成

Mutation - based XSS

利用了浏览器渲染 DOM 的特性（独特优化）
不同浏览器，会有区别（按浏览器进行攻击）

Cross-site request forgery（CSRF）

在用户不知情的前提下
利用用户权限（cookie）
构造指定 HTTP 请求，窃取或修改用户敏感信息

SQL Injection

请求 SQL 参数（恶意注入）
Server 参数 -> SQL 运行 SQL code
获取其他数据，修改数据，删除数据...

Denial of Service（DoS）

通过某种方式（构造特定请求），导致服务器资源被显著消耗，来不及响应更多请求，导致请求挤压，进而雪崩效应。

ReDos：基于正则表达式的 Dos。

贪婪：n次不行？ n-1次再试试？——回溯

Logical DoS

耗时的同步操作
数据库写入
SQL join
文件备份
循环执行逻辑

Distributed DoS（DDoS）

短时间内，来自大量僵尸设备的请求流量，服务器不能及时完成全部请求，导致请求堆积，进而雪崩效应，无法响应新请求。

攻击特点：

直接访问 IP
任意 API
消耗大量带宽（耗尽）

中间人攻击

恶意 webview
路由器
ISP
窃取信息
修改请求、返回

明文传输
信息篡改不可知
对方身份未验证

防御篇

XSS

永远不信任用户的提交内容
不要将用户提交内容直接转换成 DOM

现成工具

前端
- 主流框架默认防御 XSS
- google - closure - library
服务端（Node）
- DOMPurify

注意：

把 string 生成 DOM ，需要对 string 进行转义
如果允许用户上传 svg 文件，需要对 svg 进行扫描（svg中可以插入 script 标签）
尽量不要做让用户自定义跳转行为，如果要做也一定要做好过滤

Same-origin Policy（同源策略）

协议
域名
端口号

Content Security Policy（CSP）

哪些源（域名）被认为是安全的
来自安全源的脚本可以执行，否则直接抛错
对 eval + inline script 说 NO

CSRF 的防御

if 伪造请求 === 异常来源
then 限制请求来源 -> 限制伪造请求
请求头部
- Origin
  - 同源请求中，GET + HEAD 不发送
- Referrer

CSRF —— token

除了 Origin + Referrer 其他判断【请求来自于合法来源】的方式

if（请求来自合法页面）
then（服务器接收过页面请求）
then（服务器可以标识）

避免用户信息被携带：Samesite Cookie

限制的是：

Cookie domain
页面域名

防御 Dos

Regex DoS

Code Review
代码扫描 + 正则性能测试
用户提供的使用正则（NO）

Logical DoS

不是非黑即白
- 有些 case，只有在请求量大到一定之后，才会体现
分析代码中的性能瓶颈
- 同步调用
- 串行逻辑
- CPU 密集型操作
限流

DDoS

流量治理
- 负载均衡（过滤）
- API 网关（过滤）
- CDN（抗量）
快速自动扩容（抗量）
非核心服务降级（抗量）

HTTPS 的一些特性

可靠性：加密
完整性：MAC 验证
不可抵赖性：数字签名

补充

Feature Policy/Permission Policy

一个源（页面）下，可以使用哪些功能

camera
microphone
autoplay
...

尾声

安全无小事
使用的依赖（npm package、甚至是 NodeJS）可能成为最薄弱的一环
- left - pad 时间
- eslint - scope 时间
- event - stream 事件
保持学习心态

推荐读物