这是我参与「第五届青训营 」笔记创作活动的的第11天
1.Cross-Site Scripting(XSS 跨站脚本攻击)
攻击者通过脚本注入攻击
用户在访问该页面时就会受到攻击,造成的后果可能有:用户隐私泄露、用户机器被用作挖矿机器
Xss 主要利用了开发者盲目信任用户提交的内容,将用户提交的内容直接转换为Dom
XSS的一些特点
- 通常难以从UI上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI(例如弹窗),诱骗用户点击、填写表单(网站上的一些广告就有可能是)
XSS根据性质可以分为几大类
- 存储型XSS攻击 Stored XSS
- 反射性XSS攻击 Reflected XSS
- 基于DOM的XSS攻击 DOM-based XSS
- 基于Mutation-based的XSS攻击
1.1 Stored XSS
- 恶意脚本被存在数据库中
- 当用户:访问页面 ➡ 读数据 = 被攻击
- 危害最大,对全部用户可见
假如某个网站存在XSS漏洞,有人上传一段视频,之中插入了XSS攻击恶意脚本,所有观看这个视频的用户,都会被XSS攻击到,所有用户的隐私信息都有可能被泄露,电商网上可能能搜到你的爱奇艺账户。
1.2 Reflected XSS
- 不涉及数据库
- 从 URL 上攻击
攻击字段携带在URL链接中,服务器会从用户请求的query中读取字段,并将这个字段生成HTML片段,当用户访问这个页面的时候,就会收到XSS攻击。
1.3 DOM-based XSS
- 不需要服务器的参与
- 恶意攻击的发起 + 执行,全在浏览器完成
与 Reflected XSS 相同,从URL上进行攻击
浏览器读取并渲染字段为Dom元素 这也是一种XSS攻击
与 Reflected XSS 的区别:
完成注入脚本的地方不同
Reflected XSS 是从服务器端完成注入,而 DOM-based XSS 是完全由浏览器这一侧来完成整个闭环
1.4 Mutation-based XSS
- 利用了浏览器渲染 DOM 的特性(独特优化)
- 不同浏览器,会有区别(按浏览器进行攻击)
这种攻击十分的巧妙,是非常懂浏览器如何进行渲染,也是最难防御的一种方式。
2.Cross-site request forgery(CSRF 跨站伪造请求)
- 在用户不知情的前提下
- 利用用户的权限(cookie)
- 构造指定 HTTP 请求,窃取或修改用户敏感信息
CSRF — GET
CSRF最常见的就是GET请求
例如:当用户点击一次 a 链接,就会完成get请求,就会触发一次CSRF攻击
当页面加载这张图片时,就会完成get请求,从而触发一次CSRF攻击
CSRF — beyond GET
除了 GET 请求外,还可以用其他方式
通过构造一个method是POST表单的方式发起CSRF攻击,也非常的简单,成本非常低
3.Injection 注入攻击
3.1 SQL Injection
最常见的 Injection 注入攻击是 SQL Injection
- ① 读取请求字段
- ② 直接以字符串的形式拼接 SQL 语句
Injection 不止于 SQL
-
CLI(命令行)
-
OS command(系统命令)
-
Server-Side Request Forgery(SSRF) ,服务端伪造请求
- 严格而言 SSRF 不是 injection,但是原理类似
4.Denial of Service(Dos 服务拒绝)
通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而雪崩效应。
4.1 ReDos:基于正则表达式的 Dos
存在贪婪匹配的模式,那么就有可能存在 如果n次满足不了?n-1次再试试?— 回溯行为
4.2 Distributed Dos(DDoS)
DDoS是最常见的Dos攻击
短时间内,来自大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求。
简单的说就是不搞复杂的,量大就完事儿了
DDoS 攻击特点
- 直接访问 IP
- 任意 API
- 消耗大量带宽(耗尽)
举个例子:最常见的洪水攻击 SYN Flood
TCP有三次握手。攻击者会构造大量的TCP请求,发送大量的SYN给我们的服务器,然后我们的服务器非常的规范,返回ACK + SYN,但攻击者此时不会返回第三次ACK,也就是导致了整个三次握手没有完成,连接数不能被释放,很快的服务器达到最大连接次数,所有新请求统统不能被响应。这也就完成了一次洪水攻击。
