Web安全的原理及解決方案

看了一些Web安全的文章,有些講得非常好,也非常詳細(xì),但不夠言簡(jiǎn)意賅;本文是個(gè)吸取了他們的精華之后總結(jié),以清晰明了、言簡(jiǎn)意賅為目的。

目錄

內(nèi)容

1. XSS (Cross Site Script) 跨站腳本攻擊

1.1. 示例

如你的 Web 頁(yè)面中有如下類(lèi)似的代碼:

document.write(
  "" +
    "<div >" +
    location.href.substring(location.href.indexOf("default=") + 8) +
    "</div>"
);

攻擊者可以直接通過(guò) URL 注入可執(zhí)行的腳本代碼,如:https://xx.com/xx?default=<script>alert(document.cookie)</script>;

1.2. 原理

當(dāng)頁(yè)面有動(dòng)態(tài)渲染 或 執(zhí)行的內(nèi)容(比如通過(guò):evaldocument.write()、innerHTML),且并未對(duì)未渲染的內(nèi)容做轉(zhuǎn)義時(shí),就可以通過(guò)注入帶有可執(zhí)行腳本的內(nèi)容(如:<script></script>)來(lái)運(yùn)行惡意代碼;

1.3. 解決方案

  • 從源頭:盡量從自已的服務(wù)端獲取數(shù)據(jù)來(lái)源,盡量不要從 locationdocument.referrer、document.forms 等這種可被外部操作的 Api 中獲取數(shù)據(jù)直接渲染。
  • 從出口:在將內(nèi)容渲染至 dom 中時(shí),一律對(duì)內(nèi)容的 HTML 關(guān)鍵字進(jìn)行轉(zhuǎn)義(如:<>)。

2. CSRF(Cross-Site Request Forgery)跨站請(qǐng)求偽造攻擊

2.1. 原理

CSRF

完成 CSRF 攻擊必須具備以下條件:

  1. 瀏覽器中保存了 站點(diǎn) A 的 cookie,并且 cookie 還沒(méi)失效;
  2. 用戶訪問(wèn)了惡意 站點(diǎn) B
  3. 惡意站點(diǎn) B 可向 A 站點(diǎn)的服務(wù)器發(fā)送請(qǐng)求,并會(huì)自動(dòng)攜帶上 站點(diǎn) A 的 cookie;
  4. 站點(diǎn) A 沒(méi)有做任何 CSRF 攻擊防御;

2.2. 解決方案

  1. 為每個(gè)用戶生成一個(gè)唯一的 token,該 token 不是通過(guò) cookie 的方式返回給 用戶,用戶在每次請(qǐng)求時(shí)帶上該 token;后端收到請(qǐng)求后,驗(yàn)證 token;

3. SQL 注入

3.1. 示例

假設(shè):
用戶的登錄表單:

<form action="/login" method="POST">
  <p>用戶名: <input type="text" name="username" /></p>
  <p>密碼: <input type="password" name="password" /></p>
  <p><input type="submit" value="登陸" /></p>
</form>

后端查詢用戶的 SQL 語(yǔ)句:

let querySQL = `
SELECT * FROM user 
WHERE username='${username}'
AND psw='${password}'
`;
// 接下來(lái)就是執(zhí)行 sql 語(yǔ)句...

則:
當(dāng)惡意攻擊者輸入的用戶名是 zoumiaojiang' OR 1 = 1 -- 時(shí),密碼隨意輸入,就可以直接登入系統(tǒng)了;

因?yàn)檫@會(huì)使得最終生成的 SQL 語(yǔ)法為:

SELECT * FROM user WHERE username='zoumiaojiang' OR 1 = 1 --' AND psw='xxxx'

在 SQL 中,-- 是注釋的意思,所以查詢語(yǔ)句就變成了:

SELECT * FROM user WHERE username='zoumiaojiang' OR 1 = 1

這條 SQL 語(yǔ)句的查詢條件永遠(yuǎn)為真,所以意思就是惡意攻擊者輸入正確的密碼,就可以登錄進(jìn)賬號(hào);

3.2. 解決方案

  1. 對(duì)于需要通過(guò)參數(shù)拼接的生成數(shù)據(jù)庫(kù)語(yǔ)句的情況,要對(duì)參數(shù)進(jìn)行 SQL 關(guān)鍵字檢查、轉(zhuǎn)義、過(guò)濾。
  2. 使用數(shù)據(jù)庫(kù)提供的參數(shù)化接口來(lái)進(jìn)行數(shù)據(jù)庫(kù)的操作,而不是通過(guò)拼接數(shù)據(jù)庫(kù)語(yǔ)句。

4. 點(diǎn)擊劫持

4.1. 示例

假如惡意者想誘騙用戶為其在博客的發(fā)布的某個(gè)文章點(diǎn)贊,那么他可以將他的博客文章用 iframe 嵌入自己設(shè)計(jì)的網(wǎng)頁(yè)中,然后 iframe 元素層級(jí)下面 與 文章點(diǎn)贊按鈕對(duì)應(yīng)的位置上放一個(gè)誘導(dǎo)性按鈕,然后將 iframe 設(shè)置為透明,這樣用戶就看不到 iframe 了,但能看到那個(gè)誘導(dǎo)性按鈕,當(dāng)用戶點(diǎn)擊 誘導(dǎo)性按鈕 時(shí),其實(shí)是點(diǎn)擊了 iframe 中文章點(diǎn)贊的按鈕;

4.2. 解決方案

  1. 在 HTTP 響應(yīng)頭中增加 X-FRAME-OPTIONS 字段,并將該字段設(shè)置為以下幾種值:
    • DENY:表示頁(yè)面不允許通過(guò) iframe 的方式展示
    • SAMEORIGIN:表示頁(yè)面可以在相同域名下通過(guò) iframe 的方式展示
    • ALLOW-FROM:表示頁(yè)面可以在指定來(lái)源的 iframe 中展示
  2. 通過(guò) js self == top 判斷當(dāng)前頁(yè)面是否運(yùn)行在 iframe,如果運(yùn)行在 iframe,則可能通過(guò) js 禁止一些操作 或 把整個(gè)頁(yè)面給移除掉;

5. 命令行注入

5.1. 示例

原理和 SQL注入 類(lèi)似,就是:服務(wù)器要執(zhí)行命令,但命令是通過(guò)請(qǐng)求參數(shù)拼接而成的,就會(huì)存在被注入惡意命令的風(fēng)險(xiǎn);

如下:

// 以 Node.js 為例,假如在接口中需要從 github 下載用戶指定的 repo
const exec = require('mz/child_process').exec;
let params = `用戶輸入的參數(shù)`;

exec(`git clone ${params} /some/path`);

如果用戶輸入的參數(shù)是 https://github.com/xx/xx.git && rm -rf /* &&,則最終會(huì)執(zhí)行的命令是 git clone https://github.com/xx/xx.git && rm -rf /* && some/path

5.2. 解決方案

解決方案也和 SQL注入 類(lèi)似:

  1. 對(duì)于需要通過(guò)參數(shù)拼接的生成命令的情況,要對(duì)參數(shù)進(jìn)行 命令 關(guān)鍵字檢查、轉(zhuǎn)義、過(guò)濾。

6. DNS劫持

6.1. 原理

通過(guò)篡改電腦 或 路由器的 DNS ,來(lái)讓一個(gè)域名 映射到一個(gè)惡意網(wǎng)站上,當(dāng)你通過(guò)域名訪問(wèn)網(wǎng)站時(shí),其實(shí)訪問(wèn)的是惡意網(wǎng)站;

7. HTTP劫持

在網(wǎng)絡(luò)請(qǐng)求鏈接中的某一個(gè)環(huán)境上(比如:路由器 或 運(yùn)營(yíng)商),攔截 HTTP 的響應(yīng),然后篡改響應(yīng)體 或 在響應(yīng)體內(nèi)插入內(nèi)容(比如:廣告)

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容