常见的六种web攻击
一、XSS
XSS(跨脚本攻击):指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击,即恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。
XSS分为两种类型:
-
非持久型XSS:攻击者发送带有恶意脚本代码参数的URL给被攻击者,当URL被点开后,恶意代码参数就会被HTML解析、执行
- 防护方式:
- web页面渲染的所有类容或渲染的数据必须来自服务器端;
- 尽量不要从URL、document.referer等DOM API中获取数据直接渲染;
- 尽量不要使用JavaScript的可执行字符串的方法;
- 对涉及DOM渲染的方法传入的字符串做escape转义;
- 前端渲染时候,对任何字段都需要做escape转义编码;
-
持久型XSS:在form表单中填写恶意代码,通过XSS漏洞提交至服务器,当前端页面获得后端从数据库中读出的注入代码时,恰好将其渲染执行。
- 防护手段:
- CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的,减少 XSS 攻击。
- 对用户输入的一切数据都进行转义(用户输入的数据永远不可信任)
二、CSRF
CSRF(跨网站请求伪造):利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作,例如:当用户登入转账界面,突然弹出第三方链接窗口,用户点击该链接后,攻击者会利用用户登录状态的cookie等信息进行非法操作(攻击者利用这些信息伪造请求报文)
-
防护规则:
- GET请求不进行数据修改;
- 不让第三方网站访问到用户的Cookie;
- 阻止第三方网站请求接口;
- 请求时附带验证信息,如验证码或Token
三、点击劫持
点击劫持:是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击,例如:用户登录A网站后,被攻击者引诱点击了第三方网站链接,第三方网站中使用Iframe嵌套了A网站的部分信息,并将其隐藏,然后透出一个按钮并诱惑用户点击,这时点击的按钮实际上是A网站上的某个按钮,从而诱骗到点击量。
- 防护手段:
- X-FRAME-OPTIONS
- JavaScript 防御
四、URL跳转漏洞攻击
URL跳转漏洞攻击:借助未验证的URL跳转,将应用程序引导到不安全的第三方区域,从而导致的安全问题,即黑客构建恶意链接(链接需要进行伪装,尽可能迷惑),发在QQ群或者是浏览量多的贴吧/论坛中。
- 防护手段:
- Referer限制,确定传递URL参数进入的来源,我们可以通过该方式实现安全限制,保证该URL的有效性,避免恶意用户自己生成跳转链接;
- 加入有效性验证Token,保证所有生成的链接都是来自于我们可信域的,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用,但是如果功能本身要求比较开放,可能导致有一定的限制。
五、SQL注入攻击
SQL注入攻击:攻击者在用户提交页面(如,在用户登录界面),输入特定的字符串,提交数据后这些字符串与服务器的SQL语句组合成特定SQL语句,进而达到非法获取信息等目的;
- 防护手段:
- 严格限制Web应用的数据库的操作权限;
- 后端代码检查输入的数据是否符合预期;
- 对进入数据库的特殊字符进行转义或编码转换;
- 所有的查询语句建议使用数据库提供的参数化查询接口/函数;
六、OS注入攻击
OS注入攻击:原理与SQL注入类似,只不过SQL注入是针对数据库的,而OS命令注入是针对操作系统的,即OS命令注入攻击指通过Web应用,执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏,就可以执行插入的非法命令,向Shell发送命令,让Windows或Linux操作系统的命令行启动程序。也就是说,通过命令注入攻击可执行操作系统上安装着的各种程序。
- 防护手段:
- 后端对前端提交内容进行规则限制(比如正则表达式)。
- 在调用系统命令前对所有传入参数进行命令行参数转义过滤。
- 不要直接拼接命令语句,借助一些工具做拼接、转义预处理,
注:本文章只是进行简单的提取,便于快速理解和复习,详细内容请查看https://www.cnblogs.com/fundebug/p/details-about-6-web-security.html
1041
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
