【原創(chuàng)】本文主要簡(jiǎn)述前端web安全知識(shí)

文件上傳

后端服務(wù)器未對(duì)文件進(jìn)行校驗(yàn)和過(guò)濾，上傳asp/aspx/jsp/php等腳本文件（webshell）

解決方式：
1.前端過(guò)濾文件類型（攻擊者可以直接繞過(guò)，開(kāi)發(fā)者工具改代碼，黑名單繞過(guò)）
2.后端過(guò)濾文件類型（如果是通過(guò)mime（contentType）類型判斷，可抓包修改contentType繞過(guò)，黑名單繞過(guò)）

圖片上傳

圖片文件中可能存在木馬代碼，然后在后端的使用該文件的時(shí)候（文件包含），比如 include (img_url)，會(huì)執(zhí)行包含在文件里面的木馬，存在安全風(fēng)險(xiǎn)

XSS漏洞

存儲(chǔ)型：表單入口不過(guò)濾，惡意用戶插入腳本，提交到數(shù)據(jù)庫(kù)，每個(gè)用戶都有可能被劫持
反射型/Dom型：表單入口惡意提交腳本代碼，頁(yè)面重定向的鏈接帶有提交的惡意腳本，能回顯執(zhí)行（沒(méi)有過(guò)濾地址URL），獲取用戶信息

釣魚(yú)
1.假官網(wǎng) 通過(guò)各種方式讓用戶誤以為是可靠鏈接;
2.攻擊真實(shí)網(wǎng)站，形成存儲(chǔ)型XSS，用戶訪問(wèn)即跳轉(zhuǎn)到（或其他方式）釣魚(yú)登陸界面；

CSRF/XSRF攻擊

XSRF 的全稱是“跨站請(qǐng)求偽造”，它利用的是服務(wù)器對(duì)客戶端瀏覽器的信任，從而偽造用戶向服務(wù)器發(fā)送請(qǐng)求，從而欺騙服務(wù)器達(dá)到一些目的。

下圖展示攻擊方式，

image.png

簡(jiǎn)單攻擊場(chǎng)景

1、用戶A登陸了某銀行網(wǎng)站取錢，此時(shí)會(huì)保留cookie；
(大家有沒(méi)有遇見(jiàn)過(guò)，如果在短時(shí)間內(nèi)登陸某APP，關(guān)閉APP后(不是退出賬號(hào)密碼)，快速再次登陸此App，此時(shí)會(huì)不用再次登陸app)
2、用戶B在知道A在某銀行取錢后，利用各種信息誘導(dǎo)進(jìn)入某另一網(wǎng)站***.****.com
3、此時(shí)網(wǎng)站***.****.com存在一張圖片，圖片指向一個(gè)取錢的http請(qǐng)求
<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
4、此時(shí)如果用戶A點(diǎn)擊了該圖片，他就會(huì)丟失1000元。因?yàn)樵撜?qǐng)求是從A用戶的網(wǎng)站發(fā)出去的，而不巧的是用戶A剛不久之前訪問(wèn)某銀行網(wǎng)站，此時(shí)請(qǐng)求會(huì)攜帶有效cookie，并且服務(wù)器的session還有效。
5、A的錢被偷了。

需要注意的一點(diǎn)是用戶B無(wú)法竊取用戶A的cookie，他只是利用用戶A在不知情的情況下，發(fā)出了http請(qǐng)求，借助服務(wù)器對(duì)于用戶瀏覽器的信任，實(shí)現(xiàn)了非法轉(zhuǎn)賬(攻擊)

預(yù)防的措施

1、token驗(yàn)證
由于惡意用戶無(wú)法竊取cookie，只能利用用戶cookie模擬未攜帶token的http請(qǐng)求，那只要在服務(wù)器端進(jìn)行token驗(yàn)證就可以防御xsrf的攻擊。比如我們可以將token存儲(chǔ)在localStorage中。
2、驗(yàn)證碼
需要用戶自己來(lái)填寫(xiě)驗(yàn)證碼從而識(shí)別是否是用戶主動(dòng)發(fā)起的該請(qǐng)求。
其優(yōu)點(diǎn)：簡(jiǎn)單粗暴、低成本
缺點(diǎn)：用戶體驗(yàn)不好，需要多次驗(yàn)證。
3、Referer 字段
利用 HTTP 頭中的 Referer 判斷請(qǐng)求來(lái)源是否合法，Referer記錄了該 HTTP 請(qǐng)求的來(lái)源地址。
4、隨機(jī)參數(shù)，防機(jī)器人抓包請(qǐng)求重放