学习笔记: 网站常见安全漏洞 | 青训营

什么是漏洞

网站攻击者及意图

• 政治意图：出于政治目的实施黑客攻击。可能涉及窃取关键系统的机密数据、破坏关键系统正常运行。
• 经济目的：网站数据具有很高的经济价值，攻击者通过网站漏洞违法获取数据并进行售卖。
• 竞争目的：同类厂商之间可能由于竞争原因，对竞品网站进行一些攻击，以达到让对方站点无法运行的目的
• 炫技泄愤：用攻击对方网站方式彰显自己的技术实力，或者对某些仇恨的系统发起攻击

漏洞的分类

• 服务端漏洞

  • SQL 注入

  • RCE

  • SSRF

  • 文件上传

• 客户端漏洞

  • XSS

  • CSRF

  • 点击劫持

服务端漏洞

第三方组件漏洞

防护方式：针对java可以选择使用dependency-check-maven检查项目依赖的组件是否存在安全漏洞

SQL 注入

SQL语句静态模板和动态数据部分没有严格区分，如故宫在数据项中加入了某些语句关键字，这些SQL语句就很可能在数据库写入或者读取时得到执行

具体案例

1. [Java]错误使用语言框架，或者语言框架本身存在安全问题

使用Mybatis-plus 的危险函数，比如inSql，支持直接SQL拼接，存在SQL注入风险

注入前

SELECT `id`,test_int,test_str,create_time,update_time,`test_enum`,`version`,`tenant_id` FROM test_data WHERE (id IN (select id from test_data where version= 0))

注入后

SELECT `id`,test_int,test_str,create_time,update_time,`test_enum`,`version`,`tenant_id` FROM test_data WHERE (id IN (select id from test_data where version= 0 or 1=1))

2. [Java] Mybatis 使用 「$」 构建SQL模板

使用「#」，实际的SQL语句：SELECT id,name,pwd,age FROM t_user_info WHERE id = ?

使用「$」， 实际的SQL语句：SELECT id,name,pwd,age FROM t_user_info WHERE id = 'xx'(存在漏洞)

3. Golang常见错误写法

业务场景经常遇到根据用户定义的字段进行排序的功能，如果直接将用户输入字段作为维度带到Order则会产生SQL注入，假设GORM语句为：db.Order(param).Find(&products)

正常情况用户输入维度字段即可实现自定义排序param：codeSQL语句：SELECT * FROM products WHERE products.deleted_at IS NULL ORDER BY code

攻击者可以输入SQL语句，改变原始SQL语义param：if(1, sleep(10), ’code’)SQL语句：SELECT * FROM products WHERE products.deleted_at IS NULL ORDER BY if(1, sleep(10), 'code')

防护方式

1. 尽量不要基于DB的Raw方法拼接构造SQL语句，而应该使用预编译、ORM框架
2. 使用ORM框架时，应该注意框架中的特性，可能存在不安全的写法导致的SQL注入问题
3. 在复杂场景一定要使用拼接SQL，需要对外部输入进行转义

RCE

代码中遇到需要调用某个命令才能完成的功能的时候，会涉及到命令拼接，如果命令拼接没有做好安全过滤，也会导致命令注入风险，服务器权限将会被控制

防护方式

1. 对动态的值尽可能设置白名单进行验证
2. 如果某些位置无法白名单，需要尝试对数据类型进行校验
3. 特殊字符黑名单的过滤，或者转义

越权漏洞

• 认证：你是谁？
• 授权：你能做什么？
• 越权：资源访问或操作时候主体权限没有进行校验就会造成越权问题，细分为：未授权、水平越权和垂直越权

水平越权

黑灰产场景：订单查询功能提供订单id即可查询订单详情，这里攻击者可以遍历orderld获取其他用户的订单信息

防护方式：

涉及资源id尽量不要使用短id（遍历难度较小），同时最重要的是一定要最好资源属主校验

垂直越权

黑灰产场景：攻击者可以通过开通另外的测试管理员账户抓包获取结构，或者通过逆向前端代码方式获取实际接口，然后绕过前端直接尝试访问后端接口，获取数据详情。

防护方式：如果是简单的场景，可以将接口在路由级别进行分组，对不同的API分组引入Middleware进行权限拦截，Middleware获取当前用户角色以确定是否可以访问此接口。

SSRF

SSRF又称服务端请求伪造攻击，指攻击者利用后端服务器为跳板，让后端服务向非预期网络地址（主要指内网地址）发出恶意请求，获取敏感信息或执行恶意操作。

服务端流程：服务端请求stockApi，获取结果返回。

攻击者：将stockApi参数改为内网地址，访问内网资源

例如加载图片的时候，将URL修改为：http://localhost/admin，直接访问访问内网页面

防护方式：对url的host进行白名单过滤，获取host解析的ip进行判定，是否是内网地址

文件上传

找到公开的上传点（如视频创作/文章创作/客户反馈等），上传恶意文件（恶意视频、图片），获取图片url，然后直接分享url至外部恶意网站或QQ/微信群

防护方式

1. 限制文件类型：如果系统只需要图片类型，可以从服务端解析文件格式，限制只能传入特定的文件格式。
2. 站库分离：应用部署的位置和上传断点文件分离，一般可以使用TOS，OSS等进行文件存储
3. 防止图床：对图片访问连接进行限制，包括实践限制，访问身份限制等

客户端漏洞

开放重定向

某些需要重定向到其他站点的功能，往往在参数中携带需要重定向的 URL ，但实际程序逻辑没有控制好重定向的范围，导致攻击者可以构造恶意链接，诱导用户重定向到恶意站点。

危害：钓鱼攻击。

修复方案：对重定向严格进行白名单控制并正确校验匹配白名单。

XSS

跨站脚本 (XSS) 攻击：本质是一种 Script 代码注入， 攻击者往目标 Web 页面里插入恶意 Script 代码，当用户访问页面（有客户端时需要交互）时，嵌入其中 Web 里面的 Script 代码会被执行，从而达到恶意攻击用户的目的。

场景：反射型，存储型，Dom型

危害：通常的危害包括窃取用户敏感信息，以用户身份执行敏感操作。

Step1: 构造恶意链接，将username设置为恶意payload。

Step2: 攻击者通过网站反馈入口，向管理员/运营人员发送恶意链接。

Step3: 攻击者的服务器成功收到管理员/运营人员的Session Cookie。

Step4: 浏览器替换cookie为管理员的，获取管理员权限。

防护方式

1. 输入过滤：对输入的特殊字符（像是尖括号、引号这些字符）进行拦截，进制前端提交特殊字符

2. 输入过滤：

   a. 当输入到Dorm时候，对危险字符进行html encode，避免XSS。

   b. 使用vue/react等框架时候，避免使用危险指令，而应该使用安全指令。v-html/v-text

3. 富文本场景：比如文章发布场景，本身就是需要提供富文本功能，这时候需要严格限制tag和attribute，可以在代码层面做白名单或者黑名单。<tag sttribute1='value1' attribute2='value2'/>

4. CSP：用于缓解XSS，理念是对当前站点允许加载什么源的资源、发送什么请求能进行限制。

Content-Security-Policy: default-src 'self'; img-src *; media-src example.org example.net; script-src userscripts.example.com

CSRF

允许攻击者诱导用户访问恶意链接，执行用户非预期执行的操作。

危害：用户执行敏感操作，如关注其他用户，或者更改账号的安全邮箱等。

漏洞利用步骤：

step1：将更改Email的请求生成CSRF表单，并构造钓鱼链接。

step2：发送链接给其他用户。

step3：用户点击链接后成功执行email更改操作。

防护方式L防护的核心是判断请求的来源

1. CSRF tekens：首次访问时候会给客户端传递一个token，客户端每次访问的时候都必须带上token才能访问
2. SameSite cookies：Strik -> Lax(Default) -> None. 核心是进制某些场景发送第三方cookie
3. Referer-baded vaildation：校验Referer 来源是否是合法站点

点击劫持

点击劫持（clickjacking）是一种在网页中将恶意代码等隐藏在看似无害或者存在诱导的内容（如按钮）之下，并诱使用户点击的手段，用户点击后往往会执行一些非预期的操作。

漏洞利用步骤

Step1: 参考如下代码构造钓鱼页面链接。

Step2: 发送链接给其他用户。

Step3: 用户访问链接，点击「Win 300$」时候，实际是点击「Delete Account」

防护方式：防护的核心是不让非预期的网站 iframe 我的站点

1. X-Frame-Options：DENY / SAMEORIGIN

2. CSP: frame-ancestors指令，用于设置允许frame的source列表。

   Content-Security-Policy: frame-ancestors ;Content-Security-Policy: frame-ancestors 'self' example.org example.com store.example.com;

CORS

全称是“跨域资源共享”（Cross-origin resource sharing），用以解决网页应用跨域访问的需求。

CORS 错误配置：CORS本身不存在漏洞，而是由于开发者在配置CORS过程中，错误配置跨域访问Allow List， 导致非预期的站点可以进行跨域访问，最终可能导致信息泄漏。

常见几种错误配置:

1. 前缀/后缀/包含/正则匹配：可用example.comattck.com、attackexample.com、attackexample.com域名绕过。
2. 反射：在Access-Control-Allow-Origin中反射请求的Origin值理论上可以用任意域名绕过。
3. 信任null：攻击者还可以从任意域名下通过iframe sandbox构造Origin为null的跨域请求
4. https信任http：http传输存在被劫持篡改可能，攻击者可能通过劫持通信流量注入恶意脚本方式窃取敏感信息。

防护方式：核心是正确设置跨域白名单

总结

网站运营者：网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

组织/个人：任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。