web开发的安全之旅|青训营笔记

这是我参与「第五届青训营 」伴学笔记创作活动的第16天

一、课程知识要点：

1. 攻击篇
2. 防御篇

二、详细知识点介绍：

两个角度看web安全

• 假如你是一个hacker——攻击
• 假如你是一个开发者——防御

攻击篇

XSS的一些特点

• 通常难以从UI上感知（暗地执行脚本)
• 窃取用户信息(cookie/token)
• 绘制UT(例如弹窗),诱骗用户点击/填写表单

Stored XSS

• 恶意脚本被存在数据库中
• 访问页面→读数据→被攻击
• 危害最大，对全部用户可见

Reflected XSS

• 不涉及数据库
• 从URL上攻击

DOM-based XSS

• 不需要服务器的参与
• 恶意攻击的发起＋执行，全在浏览器完成

Mutation-based XSS

• 利用了浏览器渲染DOM的特性(独特优化)
• 不同浏览器，会有区别(按浏览器进行攻击)

Cross-site request forgery(CSRF)

• 在用户不知情的前提下
• 利用用户权限(cookie)
• 构造指定HTTP请求，窃取或修改用户敏感信息

CSRF demo

1. 用户没有访问银行页面
2. 银行页面中的特定接口被请求
3. 请求执行成功

Injecton不止于SQL

1. CLI
2. OS command
3. Server-Side Request Forgery(SSRF)，服务端伪造请求

• 严格而言，SSRF 不是injection,但是原理类似

Denial of Service(DoS)

通过某种方式(构造特定请求)，导致服务器资源被显著消耗，来不及响应更多请求，导致请求挤压，进而雪崩效应。

Logical DoS

• 耗时的同步操作
• 数据库写入
• SQL join
• 文件备份
• 循环执行逻辑

Distributed DoS(DDoS)

• 短时间内，来自大量僵尸设备的请求流量，服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应，无法响应新请求。
• 攻击特点

1. 直接访问IP
2. 任意API
3. 消耗大量带宽(耗尽)

防御篇

XSS

• 永远不信任用户的提交内容
• 不要将用户提交内容直接转换成DOM

XSS-现成工具

1. 前端

• 主流框架默认防御XSS
• google-closure-library

2. 服务端(Node)

• DOMPurify

Logical DoS

1. 不是非黑即白

• 有些case，只有在请求量大到一定之后，才会体现

2. 分析代码中的性能瓶颈

• 同步调用
• 串行逻辑
• CPU 密集型操作

3. 限流

HTTPS的一些特性

• 可靠性:加密
• 完整性:MAC验证
• 不可抵赖性:数字签名

三、课后总结

详细讲述了web开发的安全之旅，值得我们认真去学习。