CSRF和XSS学习

最新推荐文章于 2024-05-14 04:23:01 发布

imzhanghaohui

最新推荐文章于 2024-05-14 04:23:01 发布

阅读量184

点赞数

本文链接：https://blog.csdn.net/qq_43263481/article/details/107400634

版权

title: CSRF和XSS学习
date: 2020-07-16 20:36:22
tags: 网络安全

一、CSRF

1.1 CSRF概念

恶意软件让浏览器向已完成用户身份认证的网站发起请求，并执行有害的操作，就是跨站请求伪造攻击。

1.2例子

假如 Alice 在 bank.com 向 Bob 汇款10000, 那么攻击将会由以下两步骤组成:

创建一个 URL 或者 script
利用社交工程欺骗 Alice 执行代码

GET 场景

如果 bank.com 把查询参数放到 URL 中, 那么 Alice 向 Bob 转账的操作可以简化为如下:
GET http://bank.com/transfer.do?acct=BOB&amount=100 HTTP/1.1

Maria 根据 bank.com 网站请求的结构, 将 Bob 名字替换为她自己的, 还把金额变大:
http://bank.com/transfer.do?acct=MARIA&amount=100000

那么这个充满恶意的 URL ,被 Maria 放到 a 标签中, 并且利用欺骗语言吸引 Alice 点击:
<a href="http://bank.com/transfer.do?acct=MARIA&amount=100000">View my Pictures!</a>

或者放到一个长度和宽度都为0 的图片的src 中(图片不用用户点击, 自己就发起请求):
<img src="http://bank.com/transfer.do?acct=MARIA&amount=100000" width="0" height="0" border="0">
如果这张图片放到邮件中, Alice 根本就不会发现什么. 然而浏览器还是会将请求提交到 bank.com 的后台中.

一个真实的事件是发生在2008 年的 uTorrent exploit

POST 场景

假设 bank.com 现在使用 post 请求来传递参数的, 那么这个请求可以简化为:

POST http://bank.com/transfer.do HTTP/1.1
...
acct=BOB&amount=100

这种情况下, a 标签和 img 标签都无法发送 post 请求, 但是可以使用 FORM 来完成:

<form action="<nowiki>http://bank.com/transfer.do</nowiki>" method="POST">
<input type="hidden" name="acct" value="MARIA"/>
<input type="hidden" name="amount" value="100000"/>
<input type="submit" value="View my pictures"/>
</form>

我们还可以利用 JavaScript 来让文档载入的时候就发送这个请求:

<body onload="document.forms[0].submit()">
<form action="..." method="POST">
.....
</form>

其他的 HTTP 请求方法场景

假设现在银行使用的是 PUT 将数据放到一个JSON 中发送到后台中:

PUT http://bank.com/transfer.do HTTP/1.1

{ "acct":"BOB", "amount":100 }

那么我们可以利用内嵌的 JavaScript :

<script>
function put() {
    var x = new XMLHttpRequest();
    x.open("PUT","http://bank.com/transfer.do",true);
    x.setRequestHeader("Content-Type", "application/json"); 
    x.send(JSON.stringify({"acct":"BOB", "amount":100})); 
}
</script>
<body onload="put()">

幸运的是这段 PUT 请求并不会发送, 因为同源策略的限制. 除非你的后台设置了

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: PUT

1.3 防御

使用 state 参数，它是一个随机值的参数。

在OAuth2.0的授权码模式中，第三方应用（如淘宝请求QQ，淘宝就是第三方应用）请求授权码的时候需要发一个随机的state参数，

同时他会有一个回调地址用来接收授权码，认证服务器会把授权码和一开始接受的state发送给第三方应用的回调地址中。（也可能是一个接口）

在这一步就可以通过state值来判断该授权码是不是自己的。就可以有效抵御CSRF攻击。

二、XSS攻击

人们经常将跨站脚本攻击（Cross Site Scripting）缩写为CSS，但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，有人将跨站脚本攻击缩写为XSS。

2.1 特点

与钓鱼攻击相比，XSS攻击所带来的危害更大，通常具有如下特点：

①由于XSS攻击在用户当前使用的应用程序中执行，用户将会看到与其有关的个性化信息，如账户信息或“欢迎回来”消息，克隆的Web站点不会显示个性化信息。

②通常，在钓鱼攻击中使用的克隆Web站点一经发现，就会立即被关闭。

③许多浏览器与安全防护软件产品都内置钓鱼攻击过滤器，可阻止用户访问恶意的克隆站点。

④如果客户访问一个克隆的Web网银站点，银行一般不承担责任。但是，如果攻击者通过银行应用程序中的XSS漏洞攻击了银行客户，则银行将不能简单地推卸责任。

2.2 防御方法

1、HTML节点内容的防御

将用户输入的内容进行转义：

var escapeHtml = function(str) {
    str = str.replace(/</g,'&lt;');
    str = str.replace(/</g,'&gt;');
    return str;
}

ctx.render('index', {comments, from: escapeHtml(ctx.query.from || '')});

2、HTML属性的防御

对空格，单引号，双引号进行转义

var escapeHtmlProperty = function (str) {
    if(!str) return '';
    str = str.replace(/"/g,'&quto;');
    str = str.replace(/'/g,'&#39;');
    str = str.replace(/ /g,'&#32;');
    return str;
}

ctx.render('index', {posts, comments,
    from:ctx.query.from || '',
    avatarId:escapeHtmlProperty(ctx.query.avatarId || '')});

3、JavaScript的防御

对引号进行转义

var escapeForJS = function(str){
        if(!str) return '';
        str = str.replace(/\\/g,'\\\\');
        str = str.replace(/"/g,'\\"');
        return str;
}

4、富文本的防御
富文本的情况非常的复杂，js可以藏在标签里，超链接url里，何种属性里。

<script>alert(1)</script>
<a href="javascript:alert(1)"></a>
<img src="abc" onerror="alert(1)"/>

所以我们不能过用上面的方法做简单的转义。因为情况实在太多了。

现在我们换个思路，
提供两种过滤的办法：

1）黑名单
我们可以把

2）白名单
这种方式只允许部分标签和属性。不在这个白名单中的，一律过滤掉它。但是这种方式编码有点麻烦，我们需要去解析html树状结构，然后进行过滤，把过滤后安全的html在输出。
这里提供一个包，帮助我们去解析html树状结构，它使用起来和jquery非常的类似。

npm install cheerio --save

var xssFilter = function(html) {
    if(!html) return '';
    var cheerio = require('cheerio');
    var $ = cheerio.load(html);
    //白名单
    var whiteList = {
        'html' : [''],
        'body' : [''],
        'head' : [''],
        'div' : ['class'],
        'img' : ['src'],
        'a' : ['href'],
        'font':['size','color']
    };

    $('*').each(function(index,elem){
        if(!whiteList[elem.name]) {
            $(elem).remove();
            return;
        }
        for(var attr in elem.attribs) {
            if(whiteList[elem.name].indexOf(attr) === -1) {
                $(elem).attr(attr,null);
            }
        }

    });

    return $.html();
}

console.log(xssFilter('<div><font color="red">你好</font><a href="http://www.baidu.com">百度</a><script>alert("哈哈你被攻击了")</script></div>'));

5、CSP(Content Security Policy)

内容安全策略（Content Security Policy，简称CSP）是一种以可信白名单作机制，来限制网站中是否可以包含某来源内容。默认配置下不允许执行内联代码（

示例：

1.只允许本站资源

Content-Security-Policy： default-src ‘self’

2.允许本站的资源以及任意位置的图片以及 https://segmentfault.com 下的脚本。

Content-Security-Policy： default-src ‘self’; img-src *;
script-src https://segmentfault.com