前言

Web安全主要有如下幾大分類

• XSS
• CSRF(跨站請求偽造)
• SQL注入
• 命令行注入
• DDos注入
• 流量劫持

XSS

非持久型XSS（反射型）漏洞

簡介

攻擊者通過給別人發(fā)送帶有惡意腳本代碼參數(shù)的URL，當(dāng)URL地址被打開時，特有的惡意代碼參數(shù)被HTML解析、執(zhí)行，從而達(dá)到攻擊目的（獲取用戶信息，侵犯隱私）

特點

注入方式不是來源與URL，通過后端從數(shù)據(jù)庫讀取數(shù)據(jù)。不需要誘騙點擊，只要求攻擊者在提交表單的地方完成注入即可

解決方法

• Web頁面渲染所有內(nèi)容或渲染的數(shù)據(jù)必須來源于服務(wù)器
• 不要從 URL,document.referrer，document.forms 等這種 DOM API 中獲取數(shù)據(jù)直接渲染
• 盡量不要使用 eval, new Function()，document.write()，document.writeln()，window.setInterval()window.setTimeout()，innerHTML，document.creteElement() 等可執(zhí)行字符串的方法
• 需要對DOM渲染方法傳入的字符串參數(shù)做escape轉(zhuǎn)義

持久型XSS（存儲型）漏洞

簡介

一般存在與form提交表單之中，如留言，提交文本。攻擊者利用XSS漏洞，將腳本內(nèi)容經(jīng)過正常功能提交進(jìn)入數(shù)據(jù)庫永久保存，當(dāng)前端獲得后端從數(shù)據(jù)庫中讀出的注入代碼時，將其渲染執(zhí)行

特點

注入方式不是來源與URL，通過后端從數(shù)據(jù)庫讀取數(shù)據(jù)。不需要誘騙點擊，只要求攻擊者在提交表單的地方完成注入即可

成功條件

• POST請求提交表單沒有經(jīng)過轉(zhuǎn)義直接入庫
• 后端從數(shù)據(jù)庫取出數(shù)據(jù)沒有轉(zhuǎn)義直接輸出給前端
• 前端拿到后端數(shù)據(jù)后沒有經(jīng)過轉(zhuǎn)義直接渲染

解決方法

• 后端入庫前不要相信前端任何數(shù)據(jù)，統(tǒng)一將所有字符轉(zhuǎn)義
• 后端將數(shù)據(jù)輸出給前段時統(tǒng)一進(jìn)行轉(zhuǎn)義
• 前端進(jìn)行渲染時，將從后端請求過來的數(shù)據(jù)統(tǒng)一轉(zhuǎn)義處理

基于字符集的XSS

簡介

大部分瀏覽器都專門針對XSS進(jìn)行轉(zhuǎn)義處理，但也有很多方式可以繞過轉(zhuǎn)義規(guī)則，比如web頁面字符集不固定，用戶輸入非字符集字符，有時會繞過轉(zhuǎn)義過濾規(guī)則

解法

• 指定 <meta charset="utf-8">，用utf-8，而且標(biāo)簽閉合

CSRF

原理

用戶登錄了某網(wǎng)站A，并在本地記錄了cookie,在沒有退出該網(wǎng)站時（cookie有效的時間內(nèi)），攻擊者發(fā)送引誘網(wǎng)站B，B要求訪問A，從而達(dá)到獲取用戶隱私

解法

• 正確使用get(只用于查看，列舉，展示等不需要改變資源屬性的時候) post（用于form表單提交，改變一個資源的屬性或做一些其他事情，如數(shù)據(jù)庫增刪改）和cookie
• 非GET請求中，為每個用戶生產(chǎn)一個cookie token
• POST請求的時候使用驗證碼
• 渲染表單的時候，為每個表單加一個 csrfToken，然后在后端做 csrfToken驗證
• 校驗請求來源
• 設(shè)置cookie samesite

SQL注入

原理

程序沒有有效的轉(zhuǎn)義過濾用戶的輸入，使得攻擊者成功向服務(wù)器提交惡意的SQL查詢代碼，使得程序?qū)⒐粽叩妮斎胱鳛椴樵冋Z句一部分執(zhí)行

預(yù)防方法

• 嚴(yán)格限制web應(yīng)用的數(shù)據(jù)庫操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的最低權(quán)限
• 后端代碼檢查輸入數(shù)據(jù)是否符合預(yù)期，嚴(yán)格限制變量的類型，比如使用正則表達(dá)式進(jìn)行匹配
• 對進(jìn)入數(shù)據(jù)庫的特殊字符（'，"，，<，>，&，*）進(jìn)行轉(zhuǎn)義處理
• 應(yīng)用上線前建議使用專業(yè)的SQL注入檢測

命令行注入

指的是攻擊者能夠通過 HTTP 請求直接侵入主機(jī)，執(zhí)行攻擊者預(yù)設(shè)的 shell 命令這往往是 Web 開發(fā)者最容易忽視但是卻是最危險的一個漏洞之一

DDos攻擊

分布式拒絕服務(wù)，其原理就是利用大量的請求造成資源過載，導(dǎo)致服務(wù)不可用

• 網(wǎng)絡(luò)層DDos
• 應(yīng)用層DDos

流量劫持

DNS劫持

DNS是將網(wǎng)絡(luò)域名對應(yīng)到真實計算機(jī)能夠識別的IP地址，以便進(jìn)一步通信。DNS劫持就是當(dāng)用戶通過某一個域名訪問站點時，被篡改的DNS服務(wù)器返回的是一個釣魚站點的IP，用戶就被劫持到釣魚網(wǎng)站，進(jìn)而隱私泄露

HTTP劫持

HTTP劫持，當(dāng)用戶訪問某個站點時會經(jīng)過運營商網(wǎng)絡(luò)，不法運營商和黑廠勾結(jié)能夠截獲請求返回內(nèi)容，并且篡改內(nèi)容，然后再返回給用戶，從而實現(xiàn)劫持頁面，輕則插入小廣告，重則直接串改成釣魚網(wǎng)站騙用戶隱私

解決： 通信過程沒有對對方身份進(jìn)行校驗以及對數(shù)據(jù)完整性進(jìn)行校驗，所以防止 HTTP 劫持的方法只有將內(nèi)容加密，讓劫持者無法破解篡改，這樣就可以防止 HTTP 劫持了

關(guān)于

• 本文首發(fā)于https://www.ahwgs.cn/shenmeshiwebanquan.html