深入理解web安全攻防策略

于 2023-02-03 10:00:00 发布
阅读量341 收藏
点赞数
分类专栏: 网络安全 Web安全 安全 文章标签: web安全 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hunanjiushen/article/details/128854641
版权

前言

互联网时代,数据安全与个人隐私信息等受到极大的威胁和挑战,本文将以几种常见的攻击以及防御方法展开分析。

1. XSS (跨站脚本攻击)

定义:通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击 可造成的主要影响:

  • 利用虚假输入表单骗取用户个人信息。
  • 利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求。

原理:恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的

微信截图_20220909170148.png

如上图所示,网页URL输入一段包含js脚本的代码,在页面HTML中会获取url传参 keyword,并直接塞入到网页中直接执行,且参数可能会直接传到后台服务器中保存,后面再取到该参数时候又会执行脚本。整个过程中我们可以发现该漏洞产生的原因:1.输入的参数未经过安全过滤;2.恶意脚本被输出到网页;3.用户浏览器执行了恶意脚本。

1.1 反射性XSS攻击

特征:

  • 不经过服务器存储,直接通过 HTTP 的 GET 和 POST 请求就能完成攻击,直接拿到用户隐私数据。
  • 攻击者需要诱骗用户点击,用户点击相关链接才能发起
  • 用来盗取用户敏感保密信息

1.2 存储型XSS攻击

一般在前端 Form 表单提交等交互功能,如文章留言,评论信息等。黑客利用的 XSS 漏洞,将输入内容提交进入数据库持久保存,当前端页面获得后端从数据库中注入脚本代码时,恰好将其渲染执行。如下图我们在掘金评论区输入恶意脚本(掘金社区做了校验处理,该评论是无法提交的)。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1zUn3BKk-1675330815540)(https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/9258adade1294735b614b6c6289bb16e~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image?)]

攻击成功需要同时满足以下几个条件:

  • POST 请求提交表单后端没做转义直接入库。
  • 后端从数据库中取出数据没做转义直接输出给前端。
  • 前端拿到后端数据没转义直接渲染成 DOM。

1.3 XSS攻击的防御策略

  1. 请求头部 Content-Security-Policy 策略:CSP 本质上就是通过建立白名单告诉浏览器哪些外部资源可以加载和执行。例如:只允许加载本站资源(Content-Security-Policy: default-src ‘self’)、只允许加载 HTTPS 协议图片(Content-Security-Policy: img-src https://* )、允许加载任何来源框架(Content-Security-Policy: child-src ‘none’)等等,只要配置了正确的规则,那么即使网站存在漏洞,攻击者也不能执行它的攻击代码,并且 CSP 的兼容性也不错 了解CSP可参考文档
  2. 转义字符:用户的输入永远不可信,最普遍的做法就是转义输入输出的内容,对于引号、尖括号、斜杠等符号进行转义,如下方法:
function escapeHtml(html) {
  html = html.replace(/&/g, '&');
  html = html.replace(/</g, '&lt;');
  html = html.replace(/>/g, '&gt;');
  html = html.replace(/"/g, '&quto;');
  html = html.replace(/'/g, '&#39;');
  html = html.replace(/`/g, '&#96;');
  html = html.replace(/\//g, '&#x2F;');
  return html;
}

但是对于类似富文本,显然不能通过上面的办法来转义所有字符,因为这样会把需要的格式也过滤掉。所以通常采用白名单过滤的办法,如下所示,示例使用了 js-xss 来实现,可以看到在输出中保留了 h1 标签且过滤了 script 标签

const xss = require('xss')
let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>')
console.log(html)  // <h1>XSS Demo</h1>&lt;script&gt;alert("xss");&lt;/script&gt;
  1. HttpOnly Cookie:Web应用程序在设置cookie时,将其属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript窃取,保护用户cookie信息。

2. CSRF(跨站请求伪造)

定义:利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。

2.1 CSRF攻击的原理

image.png 根据上面的原理图,可以知道完成 CSRF 攻击必须要有三个条件:

  • 用户已经登录了站点 A,并在本地记录了 cookie
  • 在用户没有登出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。
最低0.47元/天 解锁文章
网络安全观察
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web一些主要的安全防护措施
DavidLiu的博客
05-05 5757
OWASP (安全防护、漏洞验证工具) 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,...
Web安全策略整理
u012475786的专栏
05-08 1339
一、加密策略方式选择: 不可逆加密:无法逆向解密的加密方式,目前主流方案是MD5和SHA1加密算法策略;但是存在暴力解密的风险; 对称加密:对称加密是双方统一加密规则进行明文加密/解密,AES加密策略就属于对称加密;当不法分子获取到加密规则时,就可以逆向解密的风险极高;(前端依赖包:crypto-js) 非对称加密:非对称采用双密钥机制进行加密/解密,由服务器端统一生成公钥/私钥,然后前端通过公钥进行明文加密,服务器端用私钥对密文进行逆向解密。同时每次加密明文生成的密文是不一样的。所以安全性极高;RSA加
网络安全——黑客攻击的步骤和防范
qq_65192671的博客
03-29 1万+
网络本身存在的安全缺陷 ①开放性的网络环境:Internet的开放性,使网络变成众矢之的,可能遭受各方面的攻击;Internet的国际性使网络可能遭受本地用户或远程用户,国外用户或国内用户等的攻击;Internet的自由性没有给网络的使用者规定任何的条款,导致用户“太自由了”,自由的下载,自由的访问,自由的发布;Internet使用的傻瓜性使任何人都可以方便地访问网络,基本不需要技术,只要会移动鼠标就可以上网冲浪,这就给我们带来很多的隐患。 ②协议本身的缺陷:网络应用层服务的隐患:IP层通信的易欺骗性.
WEB应用内容安全策略(Content Security Policy)
weixin_34146805的博客
02-20 5663
内容安全策略(Content Security Policy)是什么?   内容安全策略(Content Security Policy)简称CSP是由W3C小组定义的一项规范,其主要作用是提供一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等.   目前内容安全策略(Content Security Policy)的规范一共有三个版本: Conte...
常见web攻击与防御策略
m18625221362的博客
01-29 1827
1.XSS 说明: XSS攻击全称 跨站脚本攻击(Cross Site Scripting),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS. XSS简单分为反射型、存储型(DOM型属于反射型的一种),其本质上是HTML注入,简单来说就是通过某种手段引诱受害者(用户)信任该脚本(或网站),进而可以使攻击方的代码在客户端
安全世界观 | 常见WEB安全问题及防御策略汇总
架构精进之路
03-13 738
1、安全世界观继上一篇:我用一个小小的开放设计题,干掉了40%的面试候选人聊到了Web安全之后,好多朋友也在关注这个话题,今天特意再写一篇。安全世界观一词是《白帽子讲Web安全》一书的...
网络安全攻防大赛ctf题目
03-09
1. **Web安全**:参赛者可能需要对HTTP协议、Web应用漏洞有深入理解,例如SQL注入、XSS跨站脚本、CSRF跨站请求伪造等。他们还需要熟悉如何利用这些漏洞进行攻击,并学会防御策略,如输入验证、参数化查询等。 2. **...
xsser_platform:《 Web安全攻防:渗透测试实战指南》 XSS测试平台原始码
03-23
【标题解析】 “xsser_platform”是一个与Web安全相关的项目...通过深入学习和实践xsser_platform的源代码,不仅能够增强对XSS攻击的理解,还能提升在Web安全领域的技能,同时为自己的安全测试工具箱增添一个实用工具。
WEB安全体系课视频教程.rar
09-12
WEB安全体系课视频教程》是一套全面介绍网络攻防技术的教育资源,旨在帮助学习者深入理解并掌握Web安全的相关知识。在这个数字化的时代,网络安全的重要性日益凸显,而Web作为互联网的主要应用平台,其安全性更是...
web安全深度剖析
01-24
Web安全深度剖析》这本书由张炳帅撰写,旨在深入探讨Web安全领域的核心技术和策略,为读者揭示网络攻防背后的原理与实践。本书通过全面解析Web应用的安全问题,提供了有效的检测和防御方案,帮助读者构建更为稳固...
Web应用安全防护-XXS
壮乡码农
12-07 4766
一、什么是XSS? XSS: Cross Site Script ,跨站脚本攻击。恶意攻击者在页面中注入恶意Script代码,在用户浏览时,恶意代码会被执行,从而达到攻击的目的。 恶意者通常会通过Web应用提交的内容提交Script代码,导致浏览器将用户输入的内容当成了代码执行。 二、XSS 攻击类型 1)持久性XSS 将恶意代码保存在数据库中,谁加载到该数据谁则被攻击,常见博客、论坛中。而且是长期的威胁。 2)反射性XSS 2)DOM性XSS...
web网络安全防护方案
a38417的博客
02-07 6377
在Web信息系统高速发展的今天,Web信息系统的各种各样的安全问题已暴漏在我们面前。Web信息系统各种安全问题潜伏在Web系统中,Web系统的时时刻刻遭受各种攻击的安全威胁。这里就跟大家聊聊web网络安全防护方案。 Web网络安全分为两大类:   · Web服务器的安全性(Web服务器本身安全和软件配置)。   · Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。   Web服务器面临的攻击   Web服务器攻击利用Web服务器软件和配...
WEB网站常见受攻击方式及解决办法
问道江湖
02-26 1055
      一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法. 一.跨站脚本攻击(XSS)     跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改...
常见WEB攻击及防御技术
向着高亮的地方
06-12 1034
常见WEB攻击及防御技术 一、XSS攻击   【介绍】   xss攻击是跨站脚本攻击,例如在表单中提交含有可执行的javascript的内容文本,如果服务器端没有过滤或转义这些脚本,而这些脚本由通过内容的形式发布到了页面上,这个时候如果有其他用户访问这个网页,那么浏览器就会执行这些脚本,从而被攻击,从而获取用户的cookie等信息。   【防御】   1、对于敏感的cookie信息...
web攻击方法及防御总结
weixin_33881041的博客
04-16 342
1. CSRF (cross-site request forgery)跨站请求伪造 一句话概括: 当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。 根本原因:web的隐式身份验证机制解决办法: 为每一个...
常见的反爬虫和应对方法
weixin_30266885的博客
01-22 968
0x01 常见的反爬虫 这几天在爬一个网站,网站做了很多反爬虫工作,爬起来有些艰难,花了一些时间才绕过反爬虫。在这里把我写爬虫以来遇到的各种反爬虫策略和应对的方法总结一下。 从功能上来讲,爬虫一般分为数据采集,处理,储存三个部分。这里我们只讨论数据采集部分。 一般网站从三个方面反爬虫:用户请求的Headers,用户行为,网站目录和数据加载方式。前两种比较容易遇到,大多数网站都从这些角度来...
图解web安全攻防策略
qq_15273019的博客
05-06 223
Web安全学习笔记-Web-Sec Documentation
01-30
"Web安全学习笔记-Web-Sec Documentation 是一份详尽的Web安全知识库,涵盖从基础知识到深入攻防策略的多个方面。作者Lyle在2021年9月25日发布了该文档的1.0版本。这份文档主要分为七个部分,包括序章、计算机网络与...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值