这是我参与「第五届青训营 」伴学笔记创作活动的第 13天
青训营课程笔记
Web安全
有两个角度:
- 攻击
- 防御
攻击
XSS
跨站脚本攻击XSS,恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页面时,嵌入 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的
XSS的特点
- 通常难以从UI上感知(暗地执行脚本)
- 窃取用户信息
- 绘制UI,诱骗用户点击/填写表单
- 不需要服务器的参与
- 恶意攻击的发起+执行,全在浏览器完成
CSRF
CSRF 跨站域请求伪造,与XSS不同,并且攻击方式几乎相反。XSS 利用站点内的信任用户,而 CSRF 则通过伪装成来自受信任用户的请求来利用受信任的网站
CSRF的特点
- 在用户不知情的前提下
- 利用用户权限
- 构造指定HTTP请求,窃取或修改用户敏感信息
SQL注入
请求SQL参数恶意注入,服务器通过参数运行SQL语句,获取其他数据或修改数据、删除数据等,如读取请求字段,直接以字符串的形式拼接SQL语句
注入不止于SQL
- CLI
- OS command
- SSRF(服务端伪造请求),严格来说SSRF不是注入,但是原理相同
Dos攻击
通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应
DDOS攻击
短时间内,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新的请求
DDOS攻击特点
- 直接访问IP
- 任意API
- 消耗大量带宽(耗尽)
中间人攻击
- 明文传输
- 信息篡改不可知
- 对方身份未验证
防御篇
XSS
- 永远不信任用户的提交内容
- 不需要将用户提交内容直接转换成DOM
CSRF
- 先有页面后有请求
- 用户绑定
- 过期时间
注入
- 找到项目中查询SQL的地方
- 使用prepare statement
传输层:防御中间人
HTTPS的特性
- 可靠性:加密
- 完整性:MAC验证
- 不可抵赖性:数字签名
总结
web安全关于攻击防御方面,防御很多的基于攻击的手段进行的防御,并多方面进行安全保障
