這是預防XSS攻擊竊取用戶最有效的防御手段。Web應用程序在設置時,將其屬性設為,就可以避免該網頁的被客戶端惡意竊取,保護用戶信息。
二、CSRF
CSRF(Cross Site ),即跨站請求偽造,是一種常見的Web攻擊,它利用用戶已登錄的身份,在用戶毫不知情的情況下,以用戶的名義完成非法操作。
1.CSRF攻擊的原理
下面先介紹一下CSRF攻擊的原理:
完成 CSRF 攻擊必須要有三個條件:
我們來看一個例子: 當我們登入轉賬頁面后,突然眼前一亮驚現"XXX隱私照片,不看后悔一輩子"的鏈接,耐不住內心躁動,立馬點擊了該危險的網站(頁面代碼如下圖所示),但當這頁面一加載,便會執行這個方法來提交轉賬請求,從而將10塊轉給黑客。
2.如何防御
防范 CSRF 攻擊可以遵循以下幾種規則:
1)
可以對 設置 屬性。該屬性表示 不隨著跨域請求發送,可以很大程度減少 CSRF 的攻擊,但是該屬性目前并不是所有瀏覽器都兼容。
2) Check
HTTP 是的一部分,當瀏覽器向web服務器發送請求時,一般會帶上信息告訴服務器是從哪個頁面鏈接過來的,服務器籍此可以獲得一些信息用于處理。可以通過檢查請求的來源來防御CSRF攻擊。正常請求的具有一定規律,如在提交表單的必定是在該頁面發起的請求。所以通過檢查http包頭的值是不是這個頁面,來判斷是不是CSRF攻擊。
但在某些情況下如從https跳轉到http,瀏覽器處于安全考慮,不會發送js跨頁面傳值敏感信息,服務器就無法進行check了。若與該網站同域的其他網站有XSS漏洞,那么攻擊者可以在其他網站注入惡意腳本,受害者進入了此類同域的網址,也會遭受攻擊。出于以上原因,無法完全依賴 Check作為防御CSRF的主要手段。但是可以通過 Check來監控CSRF攻擊的發生。
3) Anti CSRF Token
目前比較完善的解決方案是加入Anti-CSRF-Token。即發送請求時在HTTP 請求中以參數的形式加入一個隨機產生的token,并在服務器建立一個攔截器來驗證這個token。服務器讀取瀏覽器當前域中這個token值,會進行校驗該請求當中的token和當中的token值是否都存在且相等,才認為這是合法的請求。否則認為這次請求是違法的,拒絕該次服務。
這種方法相比檢查要安全很多,token可以在用戶登陸后產生并放于或中,然后在每次請求時服務器把token從或中拿出,與本次請求中的token 進行比對。由于token的存在,攻擊者無法再構造出一個完整的URL實施CSRF攻擊。但在處理多個頁面共存問題時,當某個頁面消耗掉token后,其他頁面的表單保存的還是被消耗掉的那個token,其他頁面的表單提交時會出現token錯誤。
4) 驗證碼
應用程序和用戶進行交互過程中,特別是賬戶交易這種核心步驟,強制用戶輸入驗證碼,才能完成最終請求。在通常情況下,驗證碼夠很好地遏制CSRF攻擊。但增加驗證碼降低了用戶的體驗,網站不能給所有的操作都加上驗證碼。所以只能將驗證碼作為一種輔助手段,在關鍵業務點設置驗證碼。
三、點擊劫持
點擊劫持是一種視覺欺騙的攻擊手段。攻擊者將需要攻擊的網站通過 嵌套的方式嵌入自己的網頁中,并將 設置為透明,在頁面中透出一個按鈕誘導用戶點擊。
1. 特點2. 點擊劫持的原理
用戶在登陸 A 網站的系統后,被攻擊者誘惑打開第三方網站,而第三方網站通過 引入了 A 網站的頁面內容,用戶在第三方網站中點擊某個按鈕(被裝飾的按鈕),實際上是點擊了 A 網站的按鈕。
接下來我們舉個例子:我在優酷發布了很多視頻,想讓更多的人關注它js跨頁面傳值敏感信息,就可以通過點擊劫持來實現
1iframe?{
2width:?1440px;
3height:?900px;
4position:?absolute;
5top:?-0px;
6left:?-0px;
7z-index:?2;
8-moz-opacity:?0;
9opacity:?0;
10filter:?alpha(opacity=0);
11}
12button?{
13position:?absolute;
14top:?270px;
15left:?1150px;
16z-index:?1;
17width:?90px;
18height:40px;
19}
20
21......
22
23"http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg">
24<iframe?src=?scrolling="no"></iframe>
從上圖可知,攻擊者通過圖片作為頁面背景,隱藏了用戶操作的真實界面,當你按耐不住好奇點擊按鈕以后,真正的點擊的其實是隱藏的那個頁面的訂閱按鈕,然后就會在你不知情的情況下訂閱了。
3. 如何防御1)X-FRAME-
X-FRAME-是一個 HTTP 響應頭,在現代瀏覽器有一個很好的支持。這個 HTTP 響應頭 就是為了防御用 嵌套的點擊劫持攻擊。
該響應頭有三個值可選,分別是
2) 防御
對于某些遠古瀏覽器來說,并不能支持上面的這種方式,那我們只有通過 JS 的方式來防御點擊劫持了。
1<head>
2??<style?id="click-jack">
3????html?{
4??????display:?none?!important;
5????}
6??style>
7head>
8<body>
9??<script>
10????if?(self?==?top)?{
11??????var?style?=?document.getElementById('click-jack')
12??????document.body.removeChild(style)
13????}?else?{
14??????top.location?=?self.location
15????}
16??script>
17body>
以上代碼的作用就是當通過 的方式加載頁面時,攻擊者的網頁直接不顯示所有內容了。
四、URL跳轉漏洞
定義:借助未驗證的URL跳轉,將應用程序引導到不安全的第三方區域,從而導致的安全問題。
1.URL跳轉漏洞原理
黑客利用URL跳轉漏洞來誘導安全意識低的用戶點擊,導致用戶信息泄露或者資金的流失。其原理是黑客構建惡意鏈接(鏈接需要進行偽裝,盡可能迷惑),發在QQ群或者是瀏覽量多的貼吧/論壇中。
安全意識低的用戶點擊后,經過服務器或者瀏覽器解析后,跳到惡意的網站中。
惡意鏈接需要進行偽裝,經常的做法是熟悉的鏈接后面加上一個惡意的網址,這樣才迷惑用戶。
諸如偽裝成像如下的網址,你是否能夠識別出來是惡意網址呢?
1http://gate.baidu.com/index?act=go&url=http://t.cn/RVTatrd
2http://qt.qq.com/safecheck.html?flag=1&url=http://t.cn/RVTatrd
3http://tieba.baidu.com/f/user/passport?jumpUrl=http://t.cn/RVTatrd
2.實現方式:
這里我們舉個頭跳轉實現方式:
1
2$url=$_GET['jumpto'];
3header("Location:?$url");
4?>
1http://www.wooyun.org/login.php?jumpto=http://www.evil.com
這里用戶會認為都是可信的,但是點擊上述鏈接將導致用戶最終訪問這個惡意網址。
3.如何防御1)的限制
如果確定傳遞URL參數進入的來源,我們可以通過該方式實現安全限制,保證該URL的有效性,避免惡意用戶自己生成跳轉鏈接
2)加入有效性驗證Token
我們保證所有生成的鏈接都是來自于我們可信域的,通過在生成的鏈接里加入用戶不可控的Token對生成的鏈接進行校驗,可以避免用戶生成自己的惡意鏈接從而被利用,但是如果功能本身要求比較開放,可能導致有一定的限制。
五、SQL注入
SQL注入是一種常見的Web安全漏洞,攻擊者利用這個漏洞,可以訪問或修改數據,或者利用潛在的數據庫漏洞進行攻擊。
1.SQL注入的原理
我們先舉一個萬能鑰匙的例子來說明其原理:
1<form?action="/login"?method="POST">
2????<p>Username:?<input?type="text"?name="username"?/>p>
3????<p>Password:?<input?type="password"?name="password"?/>p>
4????<p><input?type="submit"?value="登陸"?/>p>
5form>
后端的 SQL 語句可能是如下這樣的:
1let?querySQL?=?`
2????SELECT?*
3????FROM?user
4????WHERE?username='${username}'
5????AND?psw='${password}'
6`;
7//?接下來就是執行?sql?語句...
8
這是我們經常見到的登錄頁面,但如果有一個惡意攻擊者輸入的用戶名是admin' --,密碼隨意輸入,就可以直接登入系統了。why! ----這就是SQL注入
我們之前預想的SQL 語句是:
1SELECT?*?FROM?user?WHERE?username='admin'?AND?psw='password'
但是惡意攻擊者用奇怪用戶名將你的 SQL 語句變成了如下形式:
1SELECT?*?FROM?user?WHERE?username='admin'?--'?AND?psw='xxxx'
在 SQL 中,' --是閉合和注釋的意思,-- 是注釋后面的內容的意思,所以查詢語句就變成了:
1SELECT?*?FROM?user?WHERE?username='admin'
所謂的萬能密碼,本質上就是SQL注入的一種利用方式。
一次SQL注入的過程包括以下幾個過程:
SQL注入的必備條件: 1.可以控制輸入的數據 2.服務器要執行的代碼拼接了控制的數據。
我們會發現SQL注入流程中與正常請求服務器類似,只是黑客控制了數據,構造了SQL查詢,而正常的請求不會SQL查詢這一步,SQL注入的本質:數據和代碼未分離,即數據當做了代碼來執行。
2.危害3.如何防御六、OS命令注入攻擊
OS命令注入和SQL注入差不多,只不過SQL注入是針對數據庫的,而OS命令注入是針對操作系統的。OS命令注入攻擊指通過Web應用,執行非法的操作系統命令達到攻擊的目的。只要在能調用Shell函數的地方就有存在被攻擊的風險。倘若調用Shell時存在疏漏,就可以執行插入的非法命令。
命令注入攻擊可以向Shell發送命令,讓或Linux操作系統的命令行啟動程序。也就是說,通過命令注入攻擊可執行操作系統上安裝著的各種程序。
1.原理
黑客構造命令提交給web應用程序,web應用程序提取黑客構造的命令,拼接到被執行的命令中,因黑客注入的命令打破了原有命令結構,導致web應用執行了額外的命令,最后web應用程序將執行的結果輸出到響應頁面中。
我們通過一個例子來說明其原理,假如需要實現一個需求:用戶提交一些內容到服務器,然后在服務器執行一些系統命令去返回一個結果給用戶
1//?以?Node.js?為例,假如在接口中需要從?github?下載用戶指定的?repo
2const?exec?=?require('mz/child_process').exec;
3let?params?=?{/*?用戶輸入的參數?*/};
4exec(`git?clone?${params.repo}?/some/path`);
.repo傳入的是確實能從指定的 git repo 上下載到想要的代碼。
但是如果.repo傳入的是 && rm -rf /* &&恰好你的服務是用 root 權限起的就糟糕了。
2.如何防御參考資料
●
●
●
●
—完—