**这是我参与「第五届青训营 」伴学笔记创作活动的第 11天,**web开发攻击与防御
两个角度看web安全:假如你是一个hacker-攻击,假如你是一个开发者-防御
XSS的一些特点:通常难以从UI上感知(暗地执行脚本),窃取用户信息(cookie/token),绘制UI(例如弹窗),诱骗用户点击/填写表单
Stored XSS:恶意脚本可以被存在数据库中,访问页面>读数据》被攻击,危害最大对全部用户可见
DOM-based XSS:不需要服务器的参与,恶意攻击的发起+执行,全在浏览器完成
Mutation-based XSS:利用了浏览器渲染DOM的特性(独特优化),不同浏览器,会有区别(按浏览器进行攻击)
CSRF:在用户不知情的前提下,利用用户权限,构建指定HTTP请求,窃取或修改用户敏感信息
Injection demo 1 读取请求字段,直接以字符串的形式拼接SQL语句
读取与修改:流量转到真实的第三方,第三方扛不住新增流量,第三方服务挂掉,竞争对手下线。
SSRF demo: 请求用户自定义的callback URL,web server 通常有内网访问权限
DoS:通过某种方式(构建特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应
DDoS:短时间内来自大量将使设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求
XSS:永远不要相信用户的提交内容,不要将用户提交内容直接转换成DOM
CSP:哪些源域名被认为是安全的,来自安全源的脚本可以执行,否则直接抛错
