Web 开发常见安全问题

最新推荐文章于 2023-12-31 11:23:41 发布
最新推荐文章于 2023-12-31 11:23:41 发布
阅读量376 收藏
点赞数 1
分类专栏: web安全 文章标签: 安全 漏洞 web session 验证码

这篇文章主要包含以下内容:

  • 前端安全

    • XSS 漏洞
    • CSRF 漏洞

  • 后端安全

    • SQL 注入漏洞
    • 权限控制漏洞
    • SESSION 与 COOKIE
    • IP 地址
    • 验证码

前言

水桶底部只要有一个洞,水就能全部流光。Web 安全同理。

前端安全

前端安全主要表现为通过浏览器间接影响到用户数据的安全问题。

  1.  XSS 漏洞

    XSS (Cross-Site Scripting),是一个我觉得耳熟能详的前端安全问题。通过构造特殊数据,在用户浏览器上执行特定脚本,从而造成危害(如以用户身份发帖、转账等)。

    由于页面内 JavaScript 几乎可以完成各种事情,因此一旦网站上有 XSS 漏洞,那些没有验证码等确认措施的操作大多都能不知情地完成,其危害甚大。

    来看看几个存在 XSS 漏洞的例子吧:

    1.  Case A: HTML DOM
      <a href="/user/1">{{ user_name }}</a>

      Exploit:

      <script>alert(1)</script>

      Result:

      <a href="/user/1"><script>alert(1)</script></a>

      最基本的例子,如果此处不对 user_name 中的特殊符号进行 escape,就会造成 XSS。

    2.  Case B: HTML Attribute
      <img src="{{ image_url }}">

      Exploit:

      " onerror="alert(1)

      Result:

      <img src="" onerror="alert(1)">

      这个例子表明,如果只对尖括号进行 escape 是不够的,很多时候引号也需要被 escape。简单来说,对不同输出场景,需要使用不同的 escape 规则。

    3.  Case C: JavaScript
      <script>var user_data = {{ user_data|json_encode }};</script>

      Exploit:

      {"exploit": "</script><script>alert(1);//"}

      Result:

      <script>var user_data = {"exploit": "</script><script>alert(1);//"};</script>

      这是一个特别的例子,大多数人觉得,对于输出在 <script> 中的内容,json_encode 一下就安全了,其实不然。在这个例子中,XSS 仍然发生了。

      更可怕的是,不少编辑器的代码高亮方案中甚至无法看出上面的 Result 中存在 XSS 漏洞。如 Sublime Text 下,代码高亮结果是这样的,看上去没有任何问题:

      Sublime-Text-Highlight

      但是浏览器解析出来的结果是这样的:

      Chrome-Inspector

    解决方法:

    1. 在不同上下文中,使用合适的 escape 方式

    2. 不要相信 任何 来自用户的输入(不仅限于 POST Body,还包括 QueryString,甚至是 Headers)

  2.  CSRF 漏洞

    CSRF (Cross-site request forgery),是一个知名度不如 XSS 但是却同样具有很大杀伤力的安全漏洞。它的杀伤力大正是因为很多开发者不知道这个漏洞。

    举个栗子,如果你网站 A 上的「登出」功能是这样实现的:

    <a href="http://a.com/logout.php">登出</a>

    则存在 CSRF 漏洞。假设网站 B(当然也可以是网站 A 本身)中有这么一段代码:

    <img src="http://a.com/logout.php">

    那么当用户访问的时候,就会导致网站 A 上的会话被登出。

    需要注意的是,不只是 GET 类请求,POST 类请求同样会存在 CSRF 漏洞,例如网站 B 中:

    <form action="http://a.com/transaction" method="POST" id="hack">
   <input type="hidden" name="to" value="hacker_account">
   <input type="hidden" name="value" value="100000">
</form>
<script>document.getElementById("hack").submit();</script>

    那么用户访问网站 B 的时候,便会自动携带 A 的 SESSION 信息,成功 POST /transaction 到网站 A。

    这个漏洞危害很大,例如以前某些 BTC 交易所就存在这个漏洞,一旦用户被诱骗访问了黑客精心布置的网站就会造成资金损失;又例如,以前某中国著名社交网站也存在这个漏洞,更糟糕的是该网站还允许用户递交自己的 <img> 显示在所有人的信息流中,且某些传播性操作可以用 GET 方式达成,这就导致黑客可以进行病毒式扩散,当然,仅仅是把 <img src="logout.do"> 嵌入信息流也是有足够大杀伤力的 :)

    解决方法:

    1. 给所有请求加上 token 检查。token 一般是随机字符串,只需确保其不可预测性即可。token 可以在 QueryString、POST body 甚至是 Custom Header 里,但千万不能在 Cookies 里。

    2. 检查 referer (请注意,这往往不能防御来自网站自身的 CSRF 攻击,如用户评论中的 <img> 就是一个常见触发点)

后端安全

在这里,后端安全指的是对服务器数据等可能造成直接影响的安全问题。黑客一般会直接构造数据进行攻击。

  1.  SQL 注入漏洞

    SQL 注入漏洞应该也是一个大多数开发者都知道的漏洞。

    考察以下 PHP 代码:

    <?php

$user = mysql_query('SELECT * FROM USERS WHERE UserName="'.$_GET['user'].'"');

    那么当请求中 user 参数为 ";DROP TABLE USERS;-- 时,合成的 SQL 语句是:

    SELECT * FROM USERS WHERE UserName="";DROP TABLE USERS;--"

    这里产生什么结果就不需要解释了吧 :) 另外,通过 SQL 注入,往往还能拿到系统权限。

    解决方法:

    所有 SQL 语句都使用参数化查询(推荐)或对参数进行 escape(不推荐)

  2.  权限控制漏洞

    这个就不仔细展开了,未经授权可以进行的操作都是权限控制漏洞。

    例如,某些网站的后台操作就仗着「以为用户不知道入口地址」不进行任何权限检查,又例如,某些操作可能出现不允许更改的字段被用户递交更改(往往是那些网页上标记为 disabled 或者 hidden 的字段),再例如,允许通过 ../ 访问到不应该被访问的文件等(一般存在于 include 中)。

    解决方法:

    所有地方都要进行权限检查(如是否已登录、当前用户是否有足够权限、该项是否可修改等),总之,不要相信任何来自用户的数据,URL 当然也是。

  3. Session 和 Cookie 是两种用于存储用户当前状态的工具。某些开发者不了解 Session 与 Cookie 的区别,误用或者混用,导致敏感信息泄露或者信息篡改。

    Cookie 存储在浏览器上,用户可以查看和修改 Cookie。
    Session 是存储在服务端的数据,一般来说安全可靠;大多数 Session 都是基于 Cookie 实现的(在 Cookie 中存储一串 SESSION_ID,在服务器上存储该 SESSION_ID 对应的内容)。

  4.  IP 地址

    首先,用户的 IP 地址一般存储在 REMOTE_ADDR 中,这是唯一的可信的 IP 地址数据(视不同语言而定)。然后某些代理服务器,会将用户的真实 IP 地址附加在 header 的 VIA 或 X_FORWARDED_FOR 中(因为REMOTE_ADDR 是代理服务器自身的 IP)。所以,要获取用户 IP 地址,一般做法是,判断是否存在 VIA 或者 X_FORWARDED_FOR 头,如果存在,则使用它们,如果不存在则使用 REMOTE_ADDR。这也是网上大多数所谓教程提供的方法。

    这就产生问题了,X_FORWARDED_FOR 或 VIA 是 HTTP Header,换句话说,它们是可以被伪造的。例如,在投票中,如果采信了 X_FORWARDED_FOR,往往意味着被刷票。

    解决方法:

    只使用 REMOTE_ADDR 作为获取 IP 的手段。

  5.  验证码

    验证码里常见的问题有:非一次性、容易被识别。

    非一次性指的是,同一个验证码可以一直被用下去。一般来说,每进行一次验证码校对(无论正确与否),都应该强制更换或清除 Session 中的验证码。

    关于识别问题,在当前科技水平下,不加噪点不加扭曲的验证码几乎是 100% 可识别的。所以大家自己看着办吧…

victoria_wr
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WEB开发常见安全漏洞分析与预防策略.rtf
12-23
WEB开发常见安全漏洞分析与预防策略
安全是一个系统问题包括服务器安全,信息安全技术题库:()是DoS/DDoS发生时针对Web服务器的保护。...
weixin_39622905的博客
08-11 521
相关题目与解析当网络遭受DOS或DDOS攻击时,可能会导致?A.数据正常接收B.数据接收延迟C.访问Web资源较慢D.Pin一般情况下不易成为反弹式DDOS攻击的受害者的是()A.公网上Web服务器B.内网Web服务器C.DNS服务器Dweb安全是一个系统问题,包括服务器安全web应用服务器安全web应用程序安全、数据传输安全IP过滤是保护web服务器的最有效的方法之一。()在网络中信息安全十...
Web安全主要包括哪些方面的安全?
程序员小麦的博客
06-25 570
如果有从事过网站开发方面经验的职场人,应该是知道网站安全这一点是非常重要的,在构建网站时就要考虑到,本期小编就为大家详细的介绍一下Web安全主要包括哪些方面的安全?
安全是一个系统问题包括服务器安全,信息安全技术题库:除了应用程序功能,Web内容和功能枚举还需要关注( )。...
weixin_35902481的博客
08-12 1560
相关题目与解析计算机专业技术人员可以随意卸载涉密信息系统的安全技术程序、管理应用程序。()web安全是一个系统问题,包括服务器安全web应用服务器安全web应用程序安全、数据传输安全随着Web威胁的持续发展和新安全技术的不断应用,Web威胁是今后几年的安全热点,服务器的安全需求包(18)下列关于Web应用软件测试的说法中,正确的是A)Cookie测试是Web应用软件功能测试的重以下关于Web应...
web应用存在的10大安全问题
zhusongziye的博客
11-04 9149
 1 在web应用程序中是什么导致安全问题呢?一般有以下几个原因 1、复杂应用系统代码量大、开发人员多、难免出现疏忽 2、系统屡次升级、人员频繁变更,导致代码不一致 3、历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上 4、开发人员未经过安全编码培训或者公司根本就没有统一的安全编码规范 5、测试人员经验不足或者没经过专业的安全评估测试就发布上线 6、没有对用户的输入进行验证: ...
Java Web开发常见问题.docx
06-25
文件上传问题:在Java Web应用程序中,文件上传是一个常见的功能,但是上传的文件可能会超出限制大小,或包含恶意代码等,导致应用程序出现安全问题。 日志问题:在Java Web应用程序中,日志是重要的调试和故障排除...
web开发安全入门
02-07
Web开发常见安全问题场景及解决方案
web开发常见安全漏洞解决办法
08-15
SQL注入漏洞 跨站脚本攻击漏洞 IIS短文件/文件夹漏洞 系统敏感信息泄露
Web 应用程序安全的思考和总结
netjxz的专栏
09-05 1112
目录1.0   Web 应用系统面临的挑战     1.0.1 什么是安全     1.0.2 什么是威胁,漏洞,和攻击,即之间的关系1.1    如何完整的设计Web应用系统的安全问题1.2    对网络安全的设置1.3    对服务器的安全的设置1.4    对Web应用系统的设置 Web 应用系统面临的挑战在考虑 Web 应用程序安全问题的时候,往往
安全是一个系统问题包括服务器安全,信息安全技术题库:信息泄露对于Web服务器的危害在于( )。...
weixin_39774491的博客
08-11 776
相关题目与解析Web错误信息可能泄露服务器型号版本、数据库型号、路径、代码。()关于Web应用防火墙,Web服务器防范敏感信息泄露的方式不包括()在网络中信息安全十分重要,下面与Web服务器安全有关的、比较有效的措施是()。A.安装使用防火墙在网络中信息安全十分重要,与Web服务器安全有关的措施有()以下哪些措施可保障Web服务器安全?()随着Web威胁的持续发展和新安全技术的不断应用,Web威胁...
如何消除网站安全的七大风险
guojun828的专栏
05-19 532
文/ 晁晓娟 以工作中某项目的安全改善过程为例,分享了常用网站安全性的典型问题解决对策,希望对网站开发者有借鉴意义。  有过网站开发经验的朋友都知道网站安全是构建网站时必须要考虑的一个因素,网站安全的重点在于服务器的安全配置管理以及程序脚本的完善性。值得注意的是,如果服务器的账号和权限由于管理不善而泄露了,即使技术上网站系统再安全,也不可避免会受到攻击。 在笔者曾经参与过
前端必知的Web安全知识(狙击面试知识点)
bigbangbangbang1的博客
06-10 736
你真的懂Web安全吗?比如下面的几个下问题1. XSS需要转义的字符有哪些?为什么对这些字符进行转义 2. XSS攻击者可以达到哪些目的?举例的时候不要举alert('xxx')3. https加密如何验证服务端身份?https全程都是非对称通信吗? 4. 加密套件了解吗?你知道哪些加密算法? 5. 如何设计一个安全的登录系统,你会考虑哪些点如果以上问题还有困惑的地方,欢迎往下阅读,本文将用浅显易懂的语言带你快速了解Web安全
前端WEB安全
最新发布
dzqxwzoe的博客
12-31 870
跨站脚本攻击,英文全称是Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet, CSS)有所区别,所以在安全领域叫做“XSS”。XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站脚本”。但是发展到今天,由于JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。
前端必备的 web 安全知识手记
weixin_57543652的博客
02-11 150
安全这种东西就是不发生则已,一发生则惊人。作为前端,平时对这方面的知识没啥研究,最近了解了下,特此沉淀。文章内容包括以下几个典型的 web 安全知识点:XSS、CSRF、点击劫持、SQL 注入和上传问题等(下文以小王代指攻击者),话不多说,我们直接开车🚗(附带的例子浅显易懂哦😯总的来说就是页面可输入或拼接显示的地方就可能会有潜在的风险。我们演示个小的 demo,虽然实际上不是这样的😂,但意思到了:
web前端开发中一些常见安全问题
热门推荐
在web前端的道路上,越走越远!
08-27 2万+
1  跨站脚本攻击(XSS攻击)         XSS(Cross Site Scripting),跨站脚本攻击。XSS是常见Web攻击技术之一.所谓的跨站脚本攻击指得是:恶意攻击者往Web页面里注入恶意Script代码,用户浏览这些网页时,就会执行其中的恶意代码,可对用户进行盗取cookie信息、会话劫持等各种攻击. 解决方案: (1) 输入过滤。永远不要相信用户的输入,对用户输入的数
web前端应该注意的安全问题
小瑾沐晚风的博客
03-05 1662
1.跨站脚本攻击(XSS攻击) 跨站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式 XSS(Cross Site Scripting),跨站脚本攻击。XSS是常见Web攻...
web前端方面存在哪些安全问题,这些问题的原理是什么?如何解决这些问题
Charles_Tian的博客
09-03 2355
参考链接:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ https://www.cnblogs.com/fengsiyi/p/7337450.html 常见的几种web前端安全问题有:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、SQL注入等。 1.XSS(跨站脚本攻击)(cross-site scripting...
常见web信息安全问题有哪些
06-08
常见Web信息安全问题包括但不限于: 1. 跨站脚本攻击(XSS):攻击者通过在网站上注入恶意脚本,从而窃取用户的个人信息,或者获取用户的敏感数据,如密码和银行卡信息。 2. SQL注入攻击:攻击者通过在Web应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值