[Notedown]Web安全

Web安全

Web软件

• 运行在Web服务器上、基于HTTP/HTTPS协议传输的应用软件
  
  • 浏览器
  • Web服务器
• 技术
  
  • 用户标识与会话管理：cookie、session
  • 数据存储
  • 日志系统：不可抵赖日志
  • 负载均衡系统
  • 代码管理与发布

Web常见缺陷

以淘宝为例

• 上传图片包含恶意代码
• 口令泄露/弱口令
• 搜索框–SQL注入、XSS
• 钓鱼支付
• 代码服务器漏洞导致代码泄露

XSS

Cross-Site Scripting 跨站脚本攻击

• 定义：攻击者在页面内插入恶意代码，当用户浏览该页面时，嵌入其中的恶意代码被执行
• 实质：用户提交的HTML代码未经过滤与转义直接回显
• 特点：不直接攻击服务器、必须由用户浏览器执行、常见于贴图、富文本
• 暴力防范：禁止JS脚本
• 危害：挂木马、蠕虫、病毒

CSRF（XSRF）

Cross Site Request forgery,跨站请求伪造

• 定义：在恶意站点上，促使用户请求有CFRF漏洞的应用的URL或欺骗性表单，从而修改用户数据
• 实质：利用session机制，盗用授权用户对应用做一些恶意的GET/POST提交
• 特点：不直接攻击服务器，一定位于跨站服务器，常见于贴图、表单提交、页面交互
• 危害：获取管理员权限、盗取信息、被提交恶意数据

SQL注入

• 定义：攻击者提交恶意SQL并得到执行
• 本质：由于输入检验不充分，导致非法数据被当作SQL来执行
• 特点：直接攻击服务器，很常见
• 绕过登录权限、删除数据表