这是我参与「第五届青训营 」伴学笔记创作活动的第 12 天
在这个互联网快速发展的时代下,网络安全十分重要,它也不断地受到大家的重视。建设安全可靠的Web应用对于每个前端开发者来说十分重要。本篇文章从攻击者角度来讲述Web开发安全。
1.XSS
XSS概念
XSS就是跨站脚本攻击。在开发维护页面中,攻击者通过一种方式,把恶意脚本注入进去。XSS没有将用户提交内容进行过滤/转义,直接转化成DOM。
XSS特点
下面是XSS的一些特点:
- 通常难以从UI上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI (例如弹窗),诱骗用户点击/填写表单
XSS分类
Stored XSS
- 恶意脚本被存在数据库中
- 访问页面-->读数据===被攻击
- 危害最大,对全部用户可见
Reflected XSS
- 不涉及数据据库
- 从URL上攻击
Dom-based XSS
- 不需要服务器的参与
- 恶意攻击的发起 + 执行,全在浏览器中完成
Mutation-based XSS
- 利用了浏览器渲染DOM的特性(独特优化)
- 不同浏览器,会有区别(按浏览器进行攻击)
2.CSRF
CSRF概念
CSRF全称Cross-site request forgery,它也被称为跨站请求伪造。是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
CSRF特点
- 在用户不知情的前提下
- 利用用户权限(cookie)
- 构造指定HTTP 请求,窃取或修改用户敏感信息
3.injection
injection是注入的攻击方式。最常见的方式是SQL Injection。
SQL Injection流程
- 请求SQL参数(恶意注入)
- Server 参数-> SQL,运行SQL code
- 获取其他数据,修改数据,删除数据...
Injected 不止于 SQL
- CLI
- OS command
- Server-Side Request Forgery(SSRF), 服务端伪造请求
- 严格而言,SSRF不是injection,但是原理类似
4.DOS
DOS概念
DOS全称Denial of Service,也叫做服务拒绝。通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应。
DOS分类
ReDoS:基于正则表达式的DoS
当用正则表达进行合法性校验时, 当我们编写校验的正则表达式存在缺陷, 攻击者构造特殊的字符串来大量消耗资源,造成服务器中断或停止。
Logical DoS
- 耗时的同步操作
- 数据库写入
- SQL join
- 文件备份
- 循环执行逻辑
DDoS
全称Distributed DoS。短时间内,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法相应新请求。
它的攻击特点有下面几点:
- 直接访问IP
- 任意API
- 消耗大量带宽(耗尽)
5.中间人攻击
- 明文传输
- 信息篡改不可知
- 对方身份未验证
6.总结
今天通过对一些Web常用攻击方法的学习,包括XSS,CSRF,injection,DOS,中间人攻击。我对Web攻击的流程也有了一个大致的了解,在以后的开发中,我们同时也要根据这些攻击手段,合理进行开发,减少漏洞的存在。
