作者 | 浪里行舟

责编 | 胡巍巍

在互联网时期,数据安全与个人隐私受到了前所未有的寻衅,各种新奇的攻击技能层出不穷。
如何才能更好地保护我们的数据?本文紧张侧重于剖析几种常见的攻击的类型以及防御的方法。

actionloginphp常见六年夜 Web 平安攻防解析  技巧头条 RESTful API

XSS

XSS (Cross-Site Scripting),跨站脚本攻击,由于缩写和 CSS重叠,以是只能叫 XSS。
跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行造孽的HTML标签或JavaScript进行的一种攻击。

跨站脚本攻击有可能造成以下影响:

利用虚假输入表单骗取用户个人信息。
利用脚本盗取用户的Cookie值,被害者在不知情的情形下,帮助攻击者发送恶意要求。
显示假造的文章或图片。

XSS 的事理是恶意攻击者往 Web 页面里插入恶意可实行网页脚本代码,当用户浏览该页之时,嵌入个中 Web 里面的脚本代码会被实行,从而可以达到攻击者盗取用户信息或其他陵犯用户安全隐私的目的。

XSS 的攻击办法千变万化,但还是可以大致细分为几种类型。

1.非持久型 XSS(反射型 XSS )

非持久型 XSS 漏洞,一样平常是通过给别人发送带有恶意脚本代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、实行。

举一个例子,比如页面中包含有以下代码:

1<select> 2 <script> 3 document.write('' 4 + '<option value=1>' 5 + location.href.substring(location.href.indexOf('default=') + 8) 6 + '</option>' 7 ); 8 document.write('<option value=2>English</option>'); 9 </script>10</select>

攻击者可直接通过URL (类似:https://xxx.com/xxx?default=<script>alert(document.cookie)</script>) 注入可实行的脚本代码。
不过一些浏览器如Chrome其内置了一些XSS过滤器,可以防止大部分反射型XSS攻击。

非持久型 XSS 漏洞攻击有以下几点特色:

即时性,不经由做事器存储,直接通过 HTTP 的 GET 和 POST 要求就能完成一次攻击,拿到用户隐私数据。
攻击者须要诱骗点击,必须要通过用户点击链接才能发起反馈率低,以是较难创造和相应修复盗取用户敏感保密信息

为了防止涌现非持久型 XSS 漏洞,须要确保这么几件事情:

Web 页面渲染的所有内容或者渲染的数据都必须来自于做事端。
只管即便不要从 URL,document.referrer,document.forms 等这种 DOM API 中获取数据直接渲染。
只管即便不要利用eval, new Function(),document.write(),document.writeln(),window.setInterval(),window.setTimeout(),innerHTML,document.createElement() 等可实行字符串的方法。
如果做不到以上几点,也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。
前端渲染的时候对任何的字段都须要做 escape 转义编码。

2.持久型 XSS(存储型 XSS)

持久型 XSS 漏洞,一样平常存在于 Form 表单提交等交互功能,如文章留言,提交文本信息等,黑客利用的 XSS 漏洞,将内容经正常功能提交进入数据库持久保存,当前端页面得到后端从数据库中读出的注入代码时,恰好将其渲染实行。

举个例子,对付评论功能来说,就得戒备持久型 XSS 攻击,由于我可以在评论中输入以下内容

紧张注入页面办法和非持久型 XSS 漏洞类似,只不过持久型的不是来源于 URL,referer,forms 等,而是来源于后端从数据库中读出来的数据 。
持久型 XSS 攻击不须要诱骗点击,黑客只须要在提交表单的地方完成注入即可,但是这种 XSS 攻击的成本相对比样很高。

攻击成功须要同时知足以下几个条件:

POST 要求提交表单后端没做转义直接入库。
后端从数据库中取出数据没做转义直接输出给前端。
前端拿到后端数据没做转义直接渲染成 DOM。

持久型 XSS 有以下几个特点:

持久性,植入在数据库中盗取用户敏感私密信息危害面广

3.如何防御

对付 XSS 攻击来说,常日有两种办法可以用来防御。

1) CSP

CSP 实质上便是建立白名单,开拓者明确见告浏览器哪些外部资源可以加载和实行。
我们只须要配置规则,如何拦截是由浏览器自己实现的。
我们可以通过这种办法来只管即便减少 XSS 攻击。

常日可以通过两种办法来开启 CSP:

设置 HTTP Header 中的 Content-Security-Policy设置 meta 标签的办法

这里以设置 HTTP Header 来举例:

只许可加载本站资源

1Content-Security-Policy: default-src 'self'只许可加载 HTTPS 协议图片

1Content-Security-Policy: img-src https://许可加载任何来源框架

1Content-Security-Policy: child-src 'none'

如需理解更多属性,请查看Content-Security-Policy文档

对付这种办法来说,只要开拓者配置了精确的规则,那么纵然网站存在漏洞,攻击者也不能实行它的攻击代码,并且 CSP 的兼容性也不错。

2) 转义字符

用户的输入永久不可信赖的,最普遍的做法便是转义输入输出的内容,对付引号、尖括号、斜杠进行转义

1function escape(str) { 2 str = str.replace(/&/g, '&') 3 str = str.replace(/</g, '<') 4 str = str.replace(/>/g, '>') 5 str = str.replace(/\公众/g, '&quto;') 6 str = str.replace(/'/g, ''') 7 str = str.replace(/`/g, '`') 8 str = str.replace(/\//g, '/') 9 return str10}

但是对付显示富文本来说,显然不能通过上面的办法来转义所有字符,由于这样会把须要的格式也过滤掉。
对付这种情形,常日采取白名单过滤的办法,当然也可以通过黑名单过滤,但是考虑到须要过滤的标签和标签属性实在太多,更加推举利用白名单的办法。

1const xss = require('xss')2let html = xss('<h1 id=\"大众title\"大众>XSS Demo</h1><script>alert(\"大众xss\公众);</script>')3// -> <h1>XSS Demo</h1><script>alert(\"大众xss\"大众);</script>4console.log(html)

以上示例利用了 js-xss 来实现,可以看到在输出中保留了 h1 标签且过滤了 script 标签。

3) HttpOnly Cookie。

这是预防XSS攻击盗取用户cookie最有效的防御手段。
Web运用程序在设置cookie时,将其属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript盗取,保护用户cookie信息。

CSRF

CSRF(Cross Site Request Forgery),即跨站要求假造,是一种常见的Web攻击,它利用用户已登录的身份,在用户绝不知情的情形下,以用户的名义完成造孽操作。

1.CSRF攻击的事理

下面先先容一下CSRF攻击的事理:

完成 CSRF 攻击必须要有三个条件:

用户已经登录了站点 A,并在本地记录了 cookie在用户没有登出站点 A 的情形下(也便是 cookie 生效的情形下),访问了恶意攻击者供应的领导危险站点 B (B 站点哀求访问站点A)。
站点 A 没有做任何 CSRF 防御

我们来看一个例子: 当我们登入转账页面后,溘然面前一亮惊现\公众XXX隐私照片,不看后悔一辈子\"大众的链接,耐不住内心躁动,立马点击了该危险的网站(页面代码如下图所示),但当这页面一加载,便会实行submitForm这个方法来提交转账要求,从而将10块转给黑客。

2.如何防御

戒备 CSRF 攻击可以遵照以下几种规则:

Get 要求不对数据进行修正不让第三方网站访问到用户 Cookie阻挡第三方网站要求接口要求时附带验证信息,比如验证码或者 Token

1) SameSite

可以对 Cookie 设置 SameSite 属性。
该属性表示 Cookie 不随着跨域要求发送,可以很大程度减少 CSRF 的攻击,但是该属性目前并不是所有浏览器都兼容。

2) Referer Check

HTTP Referer是header的一部分,当浏览器向web做事器发送要求时,一样平常会带上Referer信息见告做事器是从哪个页面链接过来的,做事器籍此可以得到一些信息用于处理。
可以通过检讨要求的来源来防御CSRF攻击。
正常要求的referer具有一定规律,如在提交表单的referer必定是在该页面发起的要求。
以是通过检讨http包头referer的值是不是这个页面,来判断是不是CSRF攻击。

但在某些情形下如从https跳转到http,浏览器处于安全考虑,不会发送referer,做事器就无法进行check了。
若与该网站同域的其他网站有XSS漏洞,那么攻击者可以在其他网站注入恶意脚本,受害者进入了此类同域的网址,也会遭受攻击。
出于以上缘故原由,无法完备依赖Referer Check作为防御CSRF的紧张手段。
但是可以通过Referer Check来监控CSRF攻击的发生。

3) Anti CSRF Token

目前比较完善的办理方案是加入Anti-CSRF-Token。
即发送要求时在HTTP 要求中以参数的形式加入一个随机产生的token,并在做事器建立一个拦截器来验证这个token。
做事器读取浏览器当前域cookie中这个token值,会进行校验该要求当中的token和cookie当中的token值是否都存在且相等,才认为这是合法的要求。
否则认为这次要求是违法的,谢绝该次做事。

这种方法比较Referer检讨要安全很多,token可以在用户上岸后产生并放于session或cookie中,然后在每次要求时做事器把token从session或cookie中拿出,与本次要求中的token 进行比对。
由于token的存在,攻击者无法再布局出一个完全的URL履行CSRF攻击。
但在处理多个页面共请安题时,当某个页面花费掉token后,其他页面的表单保存的还是被花费掉的那个token,其他页面的表单提交时会涌现token缺点。

4) 验证码

运用程序和用户进行交互过程中,特殊是账户交易这种核心步骤,逼迫用户输入验证码,才能完成终极要求。
在常日情形下,验证码够很好地遏制CSRF攻击。
但增加验证码降落了用户的体验,网站不能给所有的操作都加上验证码。
以是只能将验证码作为一种赞助手段,在关键业务点设置验证码。

点击挟制

点击挟制是一种视觉欺骗的攻击手段。
攻击者将须要攻击的网站通过 iframe 嵌套的办法嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮勾引用户点击。

1. 特点

暗藏性较高,骗取用户操作\"大众UI-覆盖攻击\"大众利用iframe或者其它标签的属性

2. 点击挟制的事理

用户在上岸 A 网站的系统后,被攻击者诱惑打开第三方网站,而第三方网站通过 iframe 引入了 A 网站的页面内容,用户在第三方网站中点击某个按钮(被装饰的按钮),实际上是点击了 A 网站的按钮。

接下来我们举个例子:我在优酷发布了很多视频,想让更多的人关注它,就可以通过点击挟制来实现

1iframe { 2width: 1440px; 3height: 900px; 4position: absolute; 5top: -0px; 6left: -0px; 7z-index: 2; 8-moz-opacity: 0; 9opacity: 0;10filter: alpha(opacity=0);11}12button {13position: absolute;14top: 270px;15left: 1150px;16z-index: 1;17width: 90px;18height:40px;19}20</style>21......22<button>点击脱衣</button>23<img src=\公众http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg\"大众>24<iframe src=\"大众http://i.youku.com/u/UMjA0NTg4Njcy\"大众 scrolling=\公众no\"大众></iframe>

从上图可知,攻击者通过图片作为页面背景,隐蔽了用户操作的真实界面,当你按耐不住好奇点击按钮往后,真正的点击的实在是隐蔽的那个页面的订阅按钮,然后就会在你不知情的情形下订阅了。

3. 如何防御

1)X-FRAME-OPTIONS

X-FRAME-OPTIONS是一个 HTTP 相应头,在当代浏览器有一个很好的支持。
这个 HTTP 相应头 便是为了防御用 iframe 嵌套的点击挟制攻击。

该相应头有三个值可选,分别是

DENY,表示页面不许可通过 iframe 的办法展示SAMEORIGIN,表示页面可以在相同域名下通过 iframe 的办法展示ALLOW-FROM,表示页面可以在指定来源的 iframe 中展示

2)JavaScript 防御

对付某些远古浏览器来说,并不能支持上面的这种办法,那我们只有通过 JS 的办法来防御点击挟制了。

1<head> 2 <style id=\"大众click-jack\"大众> 3 html { 4 display: none !important; 5 } 6 </style> 7</head> 8<body> 9 <script>10 if (self == top) {11 var style = document.getElementById('click-jack')12 document.body.removeChild(style)13 } else {14 top.location = self.location15 }16 </script>17</body>以上代码的浸染便是当通过 iframe 的办法加载页面时,攻击者的网页直接不显示所有内容了。

URL跳转漏洞

定义:借助未验证的URL跳转,将运用程序勾引到不屈安的第三方区域,从而导致的安全问题。

1.URL跳转漏洞事理

黑客利用URL跳转漏洞来勾引安全意识低的用户点击,导致用户信息透露或者资金的流失落。
其事理是黑客构建恶意链接(链接须要进行伪装,尽可能迷惑),发在QQ群或者是浏览量多的贴吧/论坛中。

安全意识低的用户点击后,经由做事器或者浏览器解析后,跳到恶意的网站中。

恶意链接须要进行伪装,常常的做法是熟习的链接后面加上一个恶意的网址,这样才迷惑用户。

诸如伪装成像如下的网址,你是否能够识别出来是恶意网址呢?

1http://gate.baidu.com/index?act=go&url=http://t.cn/RVTatrd2http://qt.qq.com/safecheck.html?flag=1&url=http://t.cn/RVTatrd3http://tieba.baidu.com/f/user/passport?jumpUrl=http://t.cn/RVTatrd

2.实现办法:

Header头跳转Javascript跳转META标签跳转

这里我们举个Header头跳转实现办法:

1<?php2$url=$_GET['jumpto'];3header(\"大众Location: $url\"大众);4?>1http://www.wooyun.org/login.php?jumpto=http://www.evil.com

这里用户会认为www.wooyun.org都是可信的,但是点击上述链接将导致用户终极访问www.evil.com这个恶意网址。

3.如何防御

1)referer的限定

如果确定通报URL参数进入的来源,我们可以通过该办法实现安全限定,担保该URL的有效性,避免恶意用户自己天生跳转链接

2)加入有效性验证Token

我们担保所有天生的链接都是来自于我们可信域的,通过在天生的链接里加入用户不可控的Token对天生的链接进行校验,可以避免用户天生自己的恶意链接从而被利用,但是如果功能本身哀求比较开放,可能导致有一定的限定。

SQL注入

SQL注入是一种常见的Web安全漏洞,攻击者利用这个漏洞,可以访问或修正数据,或者利用潜在的数据库漏洞进行攻击。

1.SQL注入的事理

我们先举一个万能钥匙的例子来解释其事理:

1<form action=\"大众/login\"大众 method=\"大众POST\"大众>2 <p>Username: <input type=\"大众text\"大众 name=\"大众username\"大众 /></p>3 <p>Password: <input type=\公众password\"大众 name=\"大众password\"大众 /></p>4 <p><input type=\"大众submit\"大众 value=\"大众上岸\公众 /></p>5</form>

后真个 SQL 语句可能是如下这样的:

1let querySQL = `2 SELECT 3 FROM user4 WHERE username='${username}'5 AND psw='${password}'6`;7// 接下来便是实行 sql 语句...8

这是我们常常见到的登录页面,但如果有一个恶意攻击者输入的用户名是 admin' --,密码随意输入,就可以直接登入系统了。
why! ----这便是SQL注入。

我们之前预想的SQL 语句是:

1SELECT FROM user WHERE username='admin' AND psw='password'

但是恶意攻击者用奇怪用户名将你的 SQL 语句变成了如下形式:

1SELECT FROM user WHERE username='admin' --' AND psw='xxxx'

在 SQL 中,' --是闭合和注释的意思,-- 是注释后面的内容的意思,以是查询语句就变成了:

1SELECT FROM user WHERE username='admin'

所谓的万能密码,实质上便是SQL注入的一种利用办法。

一次SQL注入的过程包括以下几个过程:

获取用户要求参数拼接到代码当中SQL语句按照我们布局参数的语义实行成功

SQL注入的必备条件: 1.可以掌握输入的数据 2.做事器要实行的代码拼接了掌握的数据。

我们会创造SQL注入流程中与正常要求做事器类似,只是黑客掌握了数据,布局了SQL查询,而正常的要求不会SQL查询这一步,SQL注入的实质:数据和代码未分离,即数据当做了代码来实行。

2.危害

获取数据库信息管理员后台用户名和密码获取其他数据库敏感信息:用户名、密码、手机号码、身份证、银行卡信息……全体数据库:脱裤获取做事器权限植入Webshell,获取做事器后门读取做事器敏感文件

3.如何防御

严格限定Web运用的数据库的操作权限,给此用户供应仅仅能够知足其事情的最低权限,从而最大限度的减少注入攻击对数据库的危害后端代码检讨输入的数据是否符合预期,严格限定变量的类型,例如利用正则表达式进行一些匹配处理。
对进入数据库的分外字符(',\"大众,\,<,>,&,,; 等)进行转义处理,或编码转换。
基本上所有的后端措辞都有对字符串进行转义处理的方法,比如 lodash 的 lodash._escapehtmlchar 库。
所有的查询语句建议利用数据库供应的参数化查询接口,参数化的语句利用参数而不是将用户输入变量嵌入到 SQL 语句中,即不要直接拼接 SQL 语句。
例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。

OS命令注入攻击

OS命令注入和SQL注入差不多,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的。
OS命令注入攻击指通过Web运用,实行造孽的操作系统命令达到攻击的目的。
只要在能调用Shell函数的地方就有存在被攻击的风险。
倘若调用Shell时存在疏漏,就可以实行插入的造孽命令。

命令注入攻击可以向Shell发送命令,让Windows或Linux操作系统的命令行启动程序。
也便是说,通过命令注入攻击可实行操作系统上安装着的各种程序。

1.事理

黑客布局命令提交给web运用程序,web运用程序提取黑客布局的命令,拼接到被实行的命令中,因黑客注入的命令冲破了原有命令构造,导致web运用实行了额外的命令,末了web运用程序将实行的结果输出到相应页面中。

我们通过一个例子来解释其事理,如果须要实现一个需求:用户提交一些内容到做事器,然后在做事器实行一些系统命令去返回一个结果给用户

1// 以 Node.js 为例,如果在接口中须要从 github 下载用户指定的 repo2const exec = require('mz/child_process').exec;3let params = {/ 用户输入的参数 /};4exec(`git clone ${params.repo} /some/path`);params.repo传入的是 https://github.com/admin/admin.github.io.git 确实能从指定的 git repo 高下载到想要的代码。

但是如果 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf / && 恰好你的做事是用 root 权限起的就糟糕了。

2.如何防御

后端对前端提交内容进行规则限定(比如正则表达式)。
在调用系统命令前对所有传入参数进行命令行参数转义过滤。
不要直接拼接命令语句,借助一些工具做拼接、转义预处理,例如 Node.js 的 shell-escape npm包

参考资料

常见Web 安全攻防总结前端口试之道图解HttpWeb安全知多少web安全之点击挟制(clickjacking)URL重定向/跳转漏洞网易web白帽子