Web开发的安全之旅 | 青训营笔记

Murmure670
39 阅读3分钟

Web开发安全

攻击篇

Cross-Site Scripting(XSS)

image.pngXSS 主要利用了:盲目信任用户提交的内容image.png

XSS 的特点

  • 通常难以从 UI 上感知(暗地执行脚本)
  • 窃取用户信息(cookie/token)
  • 绘制 UI(例如弹窗),诱骗用户点击/填写表单

XSS demo

image.png

可以直接提交恶意脚本

image.png

Stored XSS

  • 恶意脚本被存在数据库中
  • 访问页面 → 读数据 → 被攻击
  • 危害最大,对全部用户可见

image.png

Reflected XSS

  • 不涉及数据库
  • 从 URL 上攻击

Reflected XSS Demo

image.png

DOM-based XSS

  • 不需要服务器的参与
  • 恶意攻击的发起 + 执行,全在浏览器完成

DOM-based XSS Demo

image.png

Reflected vs DOM-based

image.png

Mutation-based XSS

  • 利用了浏览器渲染 DOM 的特性(独特优化)
  • 不同浏览器,会有区别(按浏览器进行攻击)

小片段

image.png

Cross-site request forgery(CSRF)

  • 在用户不知情的前提下
  • 利用用户权限(cookie)
  • 构造指定 HTTP 请求,窃取或修改用户敏感信息

Demo

image.png

GET

image.pngimage.png

beyond GET

image.png

SQL Injection

image.png

Injection demo

image.png

  1. 读取请求字段
  2. 直接以字符串的形式拼接 SQL 语句

image.png

Injection 不止于 SQL

  • CLI

  • OS command

  • Server-Side Request Forgery(SSRF),服务端伪造请求

    • 严格而言,SSRF 不是 injection,但是原理类似

Injection demo - 执行

image.png

Injection demo - 读取 + 修改

image.png

SSRF demo

image.png

  1. 请求【用户自定义】的 callback URL
  2. web server 通常有内网访问权限

Denial of Service(DoS)

通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应

ReDoS:基于正则表达式的 DoS

image.png

Logical DoS

  • 耗时的同步操作
  • 数据库写入
  • SQL join
  • 文件备份
  • 循环执行逻辑

Logical DoS Demo

image.png

Distributed DoS(DDoS)

短时间内,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求

DDoS

攻击特点:

  • 直接访问 IP
  • 任意 API
  • 消耗大量带宽(耗尽)

DDoS Demo

image.png

中间人攻击

image.png

  1. 明文传输
  2. 信息篡改不可知
  3. 对方身份未验证

防御篇

XSS

image.png

  • 永远不信任用户的提交内容
  • 不要将用户提交内容直接转换成 DOM

现成工具

前端:

  • 主流框架默认防御 XSS
  • google-closure-library

服务端(Node):

  • DOMPurify

string-DOM

image.png

上传 svg

image.png

Blob 动态生成 script

image.png

自定义跳转链接

image.png

自定义样式

image.png

插播:Same-origin Policy

image.png

Content Security Policy(CSP)

  • 哪些源(域名)被认为是安全的
  • 来自安全源的脚本可以执行,否则直接抛错
  • 对 eval + inline script 说 NO

CSP

image.png

CSRF 的防御

image.png

CSRF--token

image.pngimage.png

  1. 用户绑定:攻击者也可以是注册用户===可以获取自己的token
  2. 过期时间:【前向保密】

CSRF--iframe 攻击

image.png

CSRF anti-pattern

image.png

避免用户信息被携带:SameSite Cookie

image.png

SameSite Cookie

image.pngimage.png

SameSite vs CORS

image.png

SameSite demo

image.png

SameSite Cookie

image.png

Injection

image.png

  • 找到项目中查询 SQL 的地方
  • 使用 prepared statement

Injection beyond SQL

image.png

防御 DoS

Regex DoS

image.png

Logical DoS

image.png

DDoS

image.png

传输层————防御中间人

image.png

HTTPS 的一些特性

  • 可靠性:加密
  • 完整性:MAC 验证
  • 不可抵赖性:数字签名

HTTPS————完整性

image.png

插播:数字签名

image.png

HTTPS————不可抵赖:数字签名

image.png

HTTPS————证书 demo

image.pngimage.png

补充内容

一个源(页面)下,可以使用哪些功能:

  • camera

  • microphone

  • autoplay

  • ...

  • 安全无小事

  • 使用的依赖(npm package,甚至是 NodeJS)可能成为最薄弱的一环

    • left-pad 事件
    • eslint-scope 事件
    • event-stream 事件

  • 保持学习心态

npm install 除了带来了黑洞,还可以带来漏洞

推荐读物:

www.amazon.com/Web-Applica…

imnerd.org/samesite.ht…

github.com/AngusFu/dia…

aws.amazon.com/cn/shield/d…

avatar
文章
阅读
粉丝