前端安全防范 xss csrf sql注入等

前端安全問題

web安全問題.PNG

目前瀏覽器大部分有安全防范的 老版IE有些漏洞

XSS攻擊(cross site script) 跨站腳本攻擊

攻擊形式與案例

  1. 反射型 (網(wǎng)絡(luò)釣魚?)點(diǎn)擊惡意鏈接、input惡意輸入 ——新浪微博蠕蟲事件
  2. 儲(chǔ)存型 ——> 存儲(chǔ)在文章中(存在轉(zhuǎn)發(fā))、操作dom —— mySpace蠕蟲事件
  1. 儲(chǔ)存型案例:
    a. 在發(fā)表文章中嵌入script腳本等 發(fā)表時(shí)候?yàn)g覽器會(huì)執(zhí)行
<script>
    document.getElementByclassName('XXX')[0].innerHTML="XXXX"
</script>


<a  href="javascript:alert(3)">3</a>

b. mySpace蠕蟲事件 05.10.4
在div style中 編寫腳本 黑客自己發(fā)表的文章 別人轉(zhuǎn)發(fā)時(shí)也會(huì)執(zhí)行 (style中也可以運(yùn)行javaScript腳本)

<div  id:mycode  style="width: expression(eval(document.all.mycode.expr))" expr="var  B=String.xxxxxxxx.............">
</div>
  1. 反射型

a. 網(wǎng)絡(luò)釣魚 Phishing
別人模仿相同的登錄頁面,用戶輸入,獲取有用信息

b. 在輸入框中輸入 特殊字符串
回車會(huì) 會(huì)在鏈接地址欄中生成特殊地址 就像圖片紅字所示(新浪微博蠕蟲事件鏈接)帶了t.js腳本

image.png

  //input
value="張三" onclick="alert(3)""

c. 新浪微博蠕蟲事件 11.6.28

xss防范

提交內(nèi)容 非法字符 過濾 標(biāo)簽替換

CSRF攻擊(跨站偽造請求) 冒充用戶

攻擊形式與案例

方法都需要在同源網(wǎng)絡(luò)上 用戶登錄狀態(tài)

  1. get型攻擊法
  2. post型攻擊法 ——> 表單提交
  1. get型案例
    a. 刪除用戶的鏈接
<img   src="http:' del刪除用戶請求'"/>
//  src中地址必須與網(wǎng)站同源 在統(tǒng)一瀏覽器中
  1. post 提交表單 偽造提交 這個(gè)放在html中 用戶點(diǎn)擊則遭受攻擊
<iframe  name="test" style=""display:none"></iframe>

<form   target='test '  method='post'  action='http:提交的地址'>
          <input    name='action'   value='zhangsan'/>
            ......
            <input  type='submit'   id='submit'/ >
</form>

//自動(dòng)提交
<script>
var submit= document.getElementById('submit')
submit.click()
</script>

csrf防范

  1. refer 請求頭信息 確定地址來源
  2. 表單 form token 表單的唯一標(biāo)識

SQL注入

注入案例

  1. 登錄時(shí)候填寫密碼時(shí) 使用特殊輸入 如果服務(wù)器用到了 sql查詢
selcet * from user where name="張三" and password= "abc" or (1=1 and name="張三")
  1. 搜索時(shí) 搜索條件填寫構(gòu)成特殊sql

文件上傳漏洞攻擊(現(xiàn)在的介紹不是很清晰)

出現(xiàn)漏洞的原因:

  1. window系統(tǒng)文件命名不能出現(xiàn)特殊字符
  2. 上傳有個(gè)函數(shù) move_uploaded_file,移動(dòng)文件中 遇到非法名稱 自動(dòng)忽略(abc:d.jpg ——> abc)
    file -> temp(臨時(shí)本地文件中)->目標(biāo)文件夾中

方式:
上傳文件中 使用代理 攔截然后修改文件名稱 fiddler

文件上傳漏洞防范

  1. 設(shè)置文件夾權(quán)限 例如:上傳到img 文件夾 img文件設(shè)置為 不可執(zhí)行的 或者不要放在項(xiàng)目當(dāng)前目錄下 最好建個(gè)文件夾
  2. 文件名稱防范 用戶要自動(dòng)生成一個(gè)文件名
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容