web 网络安全

Web网络安全是网络安全的一个重要分支，专注于保护Web应用程序、服务和网站免受各种网络威胁。学习Web网络安全涉及多个层面的知识和技能，以下是一些主要的学习领域：

一、XSS攻击

全称:：Cross Site Script （跨站脚本）
危害:：盗取用户信息、钓鱼、制造蠕虫等.
概念：黑客通过“HTML注入”篡改网页插入了恶意脚本当用户在浏览网页时，实现控制用户浏览器行为的一种攻击方式。
分类：存储型，反射型，DOM型。

存储型：黑客讲XSS脚本写在数据库中，用人请求查询的时候查询出XSS脚本并执行。
反射型: 访问携带XSS脚本的链接触发XSS.
DOM型: 访问携带XSS脚本的链接触发XSS

访问网站，出发XSS。我们可以查看源代码，安装火狐插件Friebug插件。

CSRF漏洞

全称:Cross-site request forgery （跨站请求伪造）
危害:执行恶意操作(“被转账”“被发垃圾评论”等)危制造蠕虫
概念:利用用户已登录的身份，在用户毫不知情的情况下
以用户的名义完成非法操作

点击劫持

点击劫持（Clickjacking）是一种网络攻击手法，攻击者通过欺骗用户点击看似无害的网页区域，实际上却触发了隐藏在其下的另一层网页上的按钮或链接，从而导致用户执行非预期的操作。这种攻击可以导致用户无意中泄露个人信息、授权访问权限或安装恶意软件。
原理
点击劫持的核心原理在于利用HTML的 < iframe > 标签。< iframe >允许网页内嵌其他网页，使得一个网页可以在另一个网页中显示。攻击者可以创建一个包含受害者网站的透明< iframe >，并将这个< iframe >放置在一个精心设计的页面上。页面的设计会让用户认为他们正在与顶层网页交互，而实际上他们的点击动作被定向到了< iframe >内部的网站上。
具体方法
点击劫持通常通过以下步骤实施：

1、创建透明覆盖层：攻击者使用透明或颜色匹配的元素覆盖在< iframe>之上，有时甚至可以使用图像来模仿顶层网站的外观，使得用户难以察觉底层的< iframe >。
2、定位和重叠：攻击者精确地定位< iframe>内的元素，使其与顶层网页上的按钮或链接对齐，这样用户在点击顶层按钮时，实际上是在点击< iframe>中的元素。
3、诱骗用户点击：攻击者可能使用各种社会工程技巧，如承诺奖励或提供有价值的内容，来诱使用户点击特定区域。

URL 跳转漏洞

URL跳转漏洞，也称为开放重定向（Open Redirect），是Web应用程序中常见的一种安全漏洞。这种漏洞发生在应用程序设计时未能正确验证或过滤用户提供的重定向URL，导致攻击者可以操纵重定向的目标，使用户被导向到恶意网站。

概念
URL跳转漏洞允许攻击者通过提供一个恶意URL，诱使应用程序将其作为重定向目标。由于用户是从一个看似可信的源开始的浏览过程，因此他们可能不会注意到URL的突然变化，或者即便注意到，也可能因为信任原始网站而继续浏览。这可以被用于实施各种攻击，如钓鱼、社会工程学攻击、身份盗窃等。

原理
应用程序通常会在某些操作完成后执行 URL重定向，比如登录后重定向到用户的主页，或者在表单提交后重定向到确认页面。在正常的逻辑中，应用程序会将用户重定向到预设或合法的URL。然而，当应用程序接受用户输入的URL作为重定向目标，并且没有对其进行有效的验证或过滤时，就会产生URL跳转漏洞。

实现方式

• Header头跳转
• Javascript跳转
• META标签跳转

防护措施

1、白名单验证：只允许重定向到预定义的一组可信URL。
2、URL规范化：确保重定向的URL经过规范化处理，避免通过特殊字符或编码绕过验证。
3、输入过滤：对用户提供的URL进行严格过滤，禁止任何潜在的恶意输入。
4、使用HTTP状态码：使用恰当的HTTP重定向状态码（如302 Found）并确保重定向链的安全性。
5、教育用户：提高用户对URL跳转和钓鱼攻击的认识，教会他们识别和避免可疑的重定向

SQL注入

SQL Injection是一种常见的Web安全漏洞，攻击者通过在Web应用程序的输入字段中插入恶意的SQL代码，从而欺骗数据库执行非授权操作。这种攻击可以导致数据泄露、数据篡改或删除、服务器控制权的丧失，甚至可以导致整个数据库的丢失。

SQL注入的工作原理
在正常的SQL查询中，应用程序会构造一个SQL语句，并将用户输入作为参数插入到这个语句中。例如：

SELECT * FROM users WHERE username = 'admin' AND password = 'password';

SQL注入的类型
SQL注入可以分为几类，基于攻击的方式和目标的不同：

错误注入：通过触发错误信息来推断数据库结构和内容。
布尔注入：利用真/假响应来确定SQL查询的结果。
基于时间的注入：通过数据库的延时响应来判断SQL语句的真假。
联合查询注入：使用UNION语句来返回额外的查询结果。
堆叠注入：通过分号（;）或其它SQL语句结束符来执行额外的SQL命令。

如何防止SQL注入

参数化查询：使用预编译的语句和参数化查询，可以避免SQL语句和数据的混淆。
输入验证：对所有用户输入进行严格的验证和清理，确保只有合法的数据才能进入查询。
最小权限原则：应用程序使用的数据库账户应具有尽可能少的权限，以限制潜在损害。
使用安全函数库：使用专门设计来防止SQL注入的函数库或框架。
安全配置：确保数据库和Web服务器的安全配置，如禁用错误回显等。
定期审计和测试：定期进行代码审查和渗透测试，查找潜在的SQL注入漏洞。

命令注入

命令注入（Command Injection），是一种安全漏洞，通常出现在Web应用程序或其他软件中，其中攻击者可以利用未充分过滤的用户输入来执行任意的系统命令。这种类型的攻击允许攻击者在目标系统上执行恶意代码，这可能导致数据泄露、服务中断、权限提升或完全控制系统。

原理
命令注入通常发生在应用程序需要调用外部命令行接口（CLI）或系统功能的时候。例如，一个Web应用可能需要使用shell命令来生成一个文件或执行某种操作。如果应用程序在构建这些命令时直接使用了未经验证或清理的用户输入，那么攻击者就可以在输入中插入额外的命令，从而控制命令的执行。

防范措施
为了防止命令注入攻击，开发者可以采取以下措施：

1、参数化输入：使用参数化查询或类似的技术，避免直接将用户输入拼接到命令中。
2、输入验证：对所有用户输入进行严格的验证和清理，确保只接受预期格式的输入。
3、使用安全函数：避免使用危险的函数，如system(), exec(), passthru()等，转而使用更安全的替代方案。
4、最小权限原则：应用程序应使用最低权限的账户执行系统命令，以减少潜在的损害。
5、环境隔离：在沙箱环境中执行危险操作，限制命令执行的范围。
6、日志记录和监控：记录所有命令执行的日志，并监控异常活动，以便及时发现和响应攻击。
7、安全编码培训：定期对开发团队进行安全编码实践的培训，提高其安全意识

操作文件

操作文件漏洞，通常指的是Web应用程序中因不当处理用户上传、读取、修改或删除文件的请求而导致的安全漏洞。这类漏洞可以允许攻击者上传恶意文件、读取敏感信息、修改关键配置或删除重要文件，从而对系统造成严重的安全威胁。

1、文件上传漏洞：

• MIME类型伪造：攻击者通过更改文件的MIME类型来绕过服务器的文件类型检查，上传恶意脚本或可执行文件。
• 文件路径遍历：通过构造特殊的文件名（如…/）来上传文件到服务器的任意目录。
• 后缀名绕过：服务器仅通过检查文件扩展名来判断文件类型，而忽视了文件的实际内容，攻击者可以通过双扩展名（如.jpg.php）来绕过限制。

2、文件读取漏洞：

• 任意文件读取：允许攻击者读取服务器上的任意文件，包括但不限于配置文件、源代码、日志文件等，从而泄露敏感信息。

3、文件写入漏洞：

• 任意文件写入：攻击者能够向服务器上的任意文件写入内容，可以用来植入webshell，进一步控制服务器。

4、文件删除漏洞：

• 任意文件删除：攻击者可以删除服务器上的任意文件，包括重要的系统文件或备份文件，导致数据丢失或系统崩溃。