这是我参与「第五届青训营 」笔记创作活动的第11天

攻击篇

Cross-Site Scripting(XXS)

XXS主要利用了在用户提交的内容里添加恶意脚本或者代码，导致浏览器读取并注入这段代码到网页中，使网页信息被修改或者泄露。

XXS的一些特点：

• 通常难以从UI上感知（暗地执行脚本）
• 窃取用户信息（cookie/token)
• 绘制UI（例如弹窗），诱骗用户点击/填写表单

demo

我们就可以在content里面提交恶意脚本

XSS

Stored XSS

• 恶意脚本被存在数据库中
• 访问页面，读取数据===被攻击
• 危害最大，对全部用户可见

Reflected XSS

• 不涉及数据库
• 从URL上攻击

Demo

DOM-based XSS

• 不需要服务器的参与
• 恶意攻击的发起+执行，全在浏览器完成

Demo

Mutation-based XSS

• 利用了浏览器渲染DOM的特性（独特优化）
• 不同浏览器，会有区别（按浏览器进行攻击）

Cross-site request forgery(CSRF)

• 在用户不知情的前提下
• 利用用户权限（cookie）
• 构造指定HTTP请求，窃取或修改用户敏感信息

Demo

Injection

injection不止于SQL

• CLI
• OS command
• SSRF,服务端伪造请求
  • 严格而言，SSRF不是injection，但原理相似

Denial of Service(Dos)

通过某种方式（构造特定请求），导致服务器资源显著消耗，来不及响应更多请求，导致请求挤压，进而雪崩效应

• 耗时的同步操作
• 数据库写入
• SQL join
• 文件备份
• 循环执行逻辑

Distributed Dos(DDoS)

短时间内，来自大量僵尸设备的请求流量，服务器不能及时完成全部请求，导致请求堆积，进而雪崩效应，无法请求新请求

• 直接访问IP
• 任意API
• 耗尽宽带

中间人攻击

防御篇

XXS

• 永远不信任用户的提交内容
• 不要将用户提交内容直接转换成DOM，要转换成String

现成工具

• 前端

  • 主流框架默认防御XSS
  • goole-closure-library

• 服务器（Node）

  • DOMPurift

CSRF

if 伪造请求异常，then限制请求来源进而限制伪造请求。 请求头部中，同源请求中，GET+HEAD不发送

也可以先有页面，后有请求。if(请求来自合法页面),then(服务器接受过页面请求),then(服务器可以标识)

Injection

• 找到项目中查询SQL的地方

• 使用prepared statement

• 最小权限原则

• 建立允许名单+过滤

• 对URL类型参数进行协议、域名、IP等权限

DOS

正则

• Code Review
• 代码扫描+正则性能测试
• 不能用用户提供的使用正则

DDoS

• 流量治理

• 过滤

  • 负载均衡
  • API网关
  • CDN

• 抗量

  • 快速自动扩容
  • 非核心服务降级