1. Web攻击

植入恶意代码,修改网站权限,获取网站用户隐私信息等等。
常见Web攻击方式有:

  • XSS(Cross Site Scripting)跨站脚本攻击
  • CSRF(Cross-site request forgery)跨站请求伪造
  • SQL注入攻击

2. XSS

跨站脚本攻击,允许攻击者将恶意代码植入到提供给其他用户使用的页面中。
XSS涉及到三方,即攻击者、客户端与Web应用。
XSS是盗取存储在客户端的Cookie或者其他网站用于识别客户端身份的敏感信息。获取合法用户的信息后,假冒合法用户与网站交互。
XSS攻击可以分成:

2.1 存储型

步骤:

  • 攻击者将恶意代码提交到目标网站的数据库中
  • 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在HTML中返回给浏览器
  • 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行
  • 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作
    这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等

2.2 反射型

步骤:

  • 攻击者构造出特殊的URL,其中包含恶意代码
  • 用户打开带有恶意代码的URL时,网站服务端将恶意代码从URL中取出,拼接在HTML中返回给浏览器
  • 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行
  • 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作
    一个在数据库里,一个在URL里。
    反射型常用语URL传递参数的功能,如网站搜索、跳转等。

2.3 DOM型

步骤:

  • 攻击者构造出特殊的URL,其中包含恶意代码
  • 用户打开带有恶意代码的URL
  • 用户浏览器接收到响应后解析执行,前端JS取出URL中的恶意代码并执行
  • 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作
    DOM型的XSS攻击由浏览器端完成,是JS自身的安全漏洞,其他两种都属于服务端的安全漏洞

2.4 如何预防

XSS攻击的两大要素
1.攻击者提交恶意代码
2.浏览器执行恶意代码
将一些符号写入数据库前用特殊符号替换,不要将不可信的数据作为HTML插到页面上
DOM中的一些内联事件监听器,a标签,settimeout,setInterval等都能把字符串作为代码运行。不可信的数据拼接到字符串中传递给这些API中很容易产生安全隐患。

3. CSRF

CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求
流程:

  • 登录a.com,保留了登录凭证(Cookie)
  • 攻击者引诱受害者访问了b.com
  • b.com向a.com发送了一个请求:默认携带a的Cookie
  • a.com收到请求后,误以为是受害者自己发送的请求
  • a.com以受害者的名义执行了act
  • 攻击完成
    CSRF可以通过get请求,即通过访问img的页面后,浏览器自动访问目标地址,发送请求
    特点:
  • 攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生
  • 攻击利用受害者在攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据
  • 整个过程攻击并不能获取到受害者的登录凭证,仅仅是“冒用”
  • 跨站请求可以用各种方式,图片URL,超链接,CORS,Form提交等等。部分请求方式可以直接嵌入在第三方论坛,文章中,难以追踪

3.1 如何预防

CSRF通常从第三方网站发起,只能从增强自己的网站针对CSRF的防护能力来提升安全性。
方案如下:

  • 阻止不明的外域的访问
    通过同源检测,Samesite Cookie
  • 提交时要求附加本域才能获取的信息
    通过CSRF Token,双重Cookie验证

4.SQL注入

通过将恶意的sql查询或添加语句插入到应用的输入参数中,再在后台sql服务器上解析执行进行的攻击
流程:

  • 找出SQL漏洞的注入点
  • 判断数据库的类型以及版本
  • 猜解用户名和密码
  • 利用工具查找web后台管理入口
  • 入侵和破坏
    预防:
  • 严格检查输入变量的类型和格式
  • 过滤和转义特殊字符
  • 对访问数据库的web应用程序采用Web应用防火墙