Web攻击分类
简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标。
web应用的攻击模式有以下两种
- 主动攻击(主要攻击服务器上的资源)
- SQL注入攻击
- OS命令注入攻击
- 其他
- 被动攻击(主要攻击用户的资源和权限)
- 跨站脚本攻击
- 跨站点请求伪造
- 点击劫持(与跨站请求伪造手法相似)
- HTTP首部注入攻击
- 其他
跨站脚本攻击(XSS)
跨站脚本攻击(XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。动态创建的HTML部分有可能隐藏着安全漏洞。就这样,攻击者编写脚本设下陷阱,用户在自己的浏览器上运行时,一不小心就会受到被动攻击。目的:利用网站漏洞从用户那里恶意盗取信息。
XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站脚本”。但是发展到今天,由于JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字却一直保留下来。
XSS分类
- 反射型XSS(非持久型XSS)
- DOM型XSS(非持久性XSS)
- 存储型XSS(持久性XSS攻击)
反射型XSS
- 攻击构造出特殊的 URL ,其中包含恶意代码。(这个恶意代码诸如第三方的JS或document.cookie等)
- 用户被诱导打开带有恶意代码的 URL,服务器端将恶意代码从 URL 中取出当做参数处理,然后返回给用户带有恶意代码的数据。
- 用户浏览器接收到响应解析执行,混在其中的恶意代码也被执行。
- 恶意代码窃取用户敏感数据发送给攻击者,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
DOM型XSS
从效果上来说也是反射型XSS,单独划分出来,是因为DOM Based XSS的形成原因比较特别,发现它的安全专家专门提出了这种类型的XSS。出于历史原因,也就把它单独作为一个分类了。
- 攻击者构造出特殊的 URL,其中包含恶意代码。
- 用户被诱导打开带有恶意代码的 URL。
- 用户浏览器接收到响应后解析执行,前端 JavaScript 取出 URL 中的恶意代码并执行。
- 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
存储型XSS
存储型 XSS 跟 反射型 XSS 的区别是:存储型 XSS 的恶意代码存在服务器上,反射型 XSS 的恶意代码存在 URL 里。它是最危险的一种跨站脚本。比反射性 XSS 和 DOM 型 XSS 都更有隐蔽性,因为它不需要用户手动触发。任何允许用户存储数据的 Web 程序都可能存在存储型 XSS 漏洞。若某个页面遭受存储型 XSS 攻击,所有访问该页面的用户都会被 XSS 攻击。
- 攻击者把恶意代码提交到目标网站的服务器中。
- 用户打开目标网站,网站服务器端把带有恶意代码的数据取出,当做正常数据返回给用户。
- 用户浏览器接收到响应解析执行,混在其中的恶意代码也被执行。
- 恶意代码窃取用户敏感数据发送给攻击者,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
防御方法
- 浏览器自带防御(X-XSS-Protection)
HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个功能,当检测到跨站脚本攻击(XSS)时,浏览器将停止加载页面。其原理是检查 URL 和 DOM 中元素的相关性,但这并不能完全防止反射型 XSS,而且也并不是所有浏览器都支持 X-XSS-Protection。
X-XSS-Protection: 0
禁止XSS过滤。
X-XSS-Protection: 1
启用XSS过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。
X-XSS-Protection: 1; mode=block
启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。
X-XSS-Protection: 1; report=<reporting-uri>
启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。
- 转义
XSS攻击主要是通过构造特殊字符来注入脚本。所以在客户端与服务端都进行输入检测,然后对用户输入的数据进行转义。
function escapeHTML(str) {
if (!str) return '';
str = str.replace(/&/g, "&");
str = str.replace(/</g, "<");
str = str.replace(/>/g, ">");
str = str.replace(/"/g, """);
str = str.replace(/'/g, "'");
return str;
};
-
过滤
在富文本中因为需要保留 HTML ,所以我们不能使用转义的方法防御 XSS 攻击,这里使用过滤的方式防御 XSS 攻击,也就是通过只使用白名单允许的 HTML 标记及其属性,来防御攻击。 -
内容安全策略(csp)
实质是白名单策略,开发者明确告诉客户端,哪些外部资源可以加载和执行,大大增强了网页的安全性。
跨站请求伪造(CSRF)
叫做“攻击者伪造请求”,更好理解。
- 用户登录一些官方网站。
- 攻击者伪造一个链接或事件,诱导用户去点击。
- 用户触发事件后(点击或者触发其他什么事件),执行操作。用户执行了表面的操作,实际上攻击者利用用户触发这个事件,伪造用户在官方网站做一些事情。
例子
- 张三登录了购物网站。
- 之后张三不小心点击了攻击者的恶意链接。
- 在点击链接之后,张三的购物车被清空。此时,张三还并不知情。
分析攻击者为什么能成功
- 张三如果第一次登录购物网站,网站要求用户输入用户名和命名,验证正确才能进入。
- 此时购物网站在张三登录成功之后,会给张三Cookie(里面有Session ID),下次张三登录的时候可以不必输入用户名密码,靠着Session ID 就可以直接进入。
- 若张三点击了攻击者的事件之后,其实就是伪造用户去进入购物网站然后执行一些操作。(利用张三的权限去做事情)
- 此时购物网站的服务器会认为是张三本人在做的一些操作,因为有Session ID。
CSRF特点
- 攻击一般发起在第三方网站,而不是被攻击的网站。
- 攻击是利用受害者在被攻击网站的登录凭证,冒充受害者提交操作,仅仅是“冒用”,而不是直接窃取数据。
- 攻击者预测出被攻击的网站接口的所有参数,成功伪造请求。
防御方法
-
SameSite 属性
Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险,可以用来防止 CSRF 攻击和用户追踪。 -
同源检测
在 HTTP 协议中,每一个异步请求都会携带两个 Header ,用于标记来源域名:- Origin Header
- Referer Header
这两个 Header 在浏览器发起请求时,大多数情况会自动带上,并且不能由前端自定义内容。 服务器可以通过解析这两个 Header 中的域名,确定请求的来源域。
通过校验请求的该字段,我们能知道请求是否是从本站发出的。我们可以通过拒绝非本站发出的请求,来避免了 CSRF 攻击。
点击劫持
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe
,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe
页面。通过调整iframe
页面的位置,可以诱使用户恰好点击在iframe
页面的一些功能性按钮上。
原理很简单:
- 通过
z-index
属性让其位于最上层。 - 通过
opacity
属性让其透明度为0。
点击劫持攻击与CSRF攻击(详见“跨站点请求伪造”一章)有异曲同工之妙,都是在用户不知情的情况下诱使用户完成一些动作。但是在CSRF攻击的过程中,如果出现用户交互的页面,则攻击可能会无法顺利完成。与之相反的是,点击劫持没有这个顾虑,它利用的就是与用户产生交互的页面。
Flash点击劫持
案例:
- 攻击者制作了一个Flash游戏,并诱使用户来玩这个游戏。这个游戏就是让用户去点击“CLICK”按钮,每次点击后这个按钮的位置都会发生变化。
- 在其上隐藏了一个看不见的iframe。
- 攻击通过诱导用户鼠标点击的位置,能够完成一些较为复杂的流程。
- 最终通过这一步步的操作,打开了用户的摄像头。
其他的点击劫持
- 图片覆盖攻击
- 拖拽劫持
- 触屏劫持(发生在智能手机上的攻击)
HTTP首部注入攻击
HTTP首部注入攻击(HTTP Header Injection)是指攻击者通过在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击。属于被动攻击模式。
向首部主体内添加内容的攻击称为HTTP响应截断攻击(HTTP Response Splitting Attack)。
如下所示,Web应用有时会把从外部接收到的数值,赋给响应首部字段Location
和Set-Cookie
。
Loaction: http://www.example.com/a.cgi?q=12345
Set-Cookie: UID=12345
危害
- 设置任何Cookie信息
- 重定向至任意URL
- 显示任意的主体(HTTP响应截断攻击)
SQL注入攻击
注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
如何防御SQL注入攻击
- 使用预编译语句,绑定变量。
(最佳方式)
使用预编译的SQL语句,SQL语句的语义不会发生改变。在SQL语句中,变量用?
表示,攻击者无法改变SQL的结构,在上面的例子中,即使攻击者插入类似于tom' or'1'='1
的字符串,也只会将此字符串当做username
来查询。
- 使用安全的存储过程对抗SQL注入。
使用存储过程的效果和使用预编语句译类似,其区别就是存储过程需要先将SQL语句定义在数据库中。但需要注意的是,存储过程中也可能会存在注入问题,因此应该尽量避免在存储过程内使用动态的SQL语句。如果无法避免,则应该使用严格的输入过滤
或者是编码函数
来处理用户的输入数据。
- 检查数据类型
检查输入数据的数据类型,在很大程度上可以对抗SQL注入。比如用户在输入邮箱时,必须严格按照邮箱的格式;输入时间、日期时,必须严格按照时间、日期的格式,等等,都能避免用户数据造成破坏。但数据类型检查并非万能,如果需求就是需要用户提交字符串,比如一段短文,则需要依赖其他的方法防范SQL注入。
- 使用安全函数
- 使用最小权限原则,避免Web应用直接使用root、dbowner等高权限账户直接连接数据库。
如果有多个不同的应用在使用同一个数据库,则也应该为每个应用分配不同的账户。Web应用使用的数据库账户,不应该有创建自定义函数、操作本地文件的权限。
OS命令注入攻击
OS命令注入攻击(OS Command Injection)是指通过Web应用,执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。
OS命令注入攻击可以向Shell发送命令,让Windows或Linux操作系统的命令行启动程序。也就是说,通过OS注入攻击可执行OS上安装着的各种程序。
产生的原因
- 使用了内部调用Shell的函数(system、open等)
- 将倍加传入的参数传递给内部调用的shell的函数
- 参数中shell的元字符没有被转义
防御对策
- 选择不调用OS命令的实现方法。不调用利用shell的功能,既能杜绝了OS命令注入漏洞混入的可能性,又消除了调用OS命令的而系统开销,能够从多方面提高应用的性能。
- 不将外界输入的字符串传递给命令行参数。
- 使用安全的函数对传递给OS命令参数进行转义。
其他一些Web攻击
目录遍历攻击
目录遍历(Directory Traversal)攻击是指对本无意公开的文件目录,通过非法截断其目录路径后,达成访问目的的一种攻击。这种攻击有时也称为路径遍历(PathTraversal)攻击。
通过Web应用对文件处理操作时,在由外部指定文件名的处理存在疏漏的情况下,用户可使用.…/等相对路径定位到/etc/passed等绝对路径上,因此服务器上任意的文件或文件目录皆有可能被访问到。这样一来,就有可能非法浏览、篡改或删除Web服务器上的文件。
固然存在输出值转义的问题,但更应该关闭指定对任意文件名的访问权限。
远程文件包含漏洞
远程文件包含漏洞(Remote File Inclusion)是指当部分脚本内容需要从其他文件读入时,攻击者利用指定外部服务器的URL充当依赖文件,让脚本读取之后,就可运行任意脚本的一种攻击。
这主要是PHP存在的安全漏洞,对PHP的include或require
来说,这是一种可通过设定,指定外部服务器的URL作为文件名的功能。但是,该功能太危险,PHP5.2.0之后默认设定此功能无效。
固然存在输出值转义的问题,但更应控制对任意文件名的指定。
源代码:
http://example.com/foo.php?mod=news.php
经过攻击后:
http://example.com/foo.php?mod=http://hackr.jp/cmd.php&cmd=1s
攻击者通过把要引入的文件替换成自己的文件,就能攻击到服务器了。
不正确的错误消息处理
不正确的错误消息处理(Error Handling Vulnerability)的安全漏洞是指,Web应用的错误信息内包含对攻击者有用的信息。与Web应用有关的主要错误信息如下所示。
- Web应用抛出的错误消息
- 数据库等系统抛出的错误消息
Web应用不必在用户的浏览画面上展现详细的错误消息。对攻击者来说,详细的错误消息有可能给他们下一次攻击以提示。
开放重定向
开放重定向(Open Redirect)是一种对指定的任意URL作重定向跳转的功能。而与此功能相关联的安全漏洞是指,假如指定的重定向URL到某个具有恶意的Web网站,那么用户就会被诱导至那个Web网站。
原URL:
http://example.com/?redirect=http://www.tricorder.jp
被攻击后:
http://example.com/?redirect=http://hackr.jp
用户看到URL后原以为访问example.com,不料实际上被诱导至hackr.jp这个指定的重定向目标。
可信度高的Web网站如果开放重定向功能,则很有可能被攻击者选中并用来作为钓鱼攻击的跳板。
密码破解
密码破解攻击(Password Cracking)即算出密码,突破认证。攻击不仅限于Web应用,还包括其他的系统(如FTP或SSH等)。有以下几种破解方法:
- 穷举法
对所有密钥集合构成的密钥空间(Keyspace)进行穷举。即,用所有可行的候选密码对目标的密码系统试错,用以突破验证的一种攻击。 - 字典攻击
利用事先收集好的候选密码(经过各种组合方式后存入字典),枚举字典中的密码,尝试通过认证的一种攻击手法。
字典攻击中有一种利用其他Web网站已泄露的ID及密码列表进行的攻击。很多用户习惯随意地在多个Web网站使用同一套ID及密码,因此攻击会有相当高的成功几率
DoS攻击
DoS攻击(Denial of Service attack)是一种让运行中的服务呈停止状态的攻击。有时也叫做服务停止攻击或拒绝服务攻击。DoS攻击的对象不仅限于Web网站,还包括网络设备及服务器等。
有两种DOS攻击方式:
- 集中利用访问请求造成资源过载,资源用尽的同时,实际上服务也就呈停止状态。(海量请求导致服务器瘫痪,服务器很难分辨何为正常请求,何为攻击请求,因此很难防止DoS攻击。)
- 通过攻击安全漏洞使服务停止。
多台计算机发起的DoS攻击称为DDoS攻击(DistributedDenial of Service attack)。DDoS攻击通常利用那些感染病毒的计算机作为攻击者的攻击跳板。
后门程序
后门程序(Backdoor)是指开发设置的隐藏入口,可不按正常步骤使用受限功能。利用后门程序就能够使用原本受限制的功能。
通常的后门程序分为以下3种类型。
- 开发阶段作为Debug调用的后门程序
- 开发者为了自身利益植入的后门程序
- 攻击者通过某种方法设置的后门程序
可通过监视进程和通信的状态发现被植入的后门程序。但设定在Web应用中的后门程序,由于和正常使用时区别不大,通常很难发现。
参考文献
- 《图解HTTP》
- 吴瀚清《白帽子讲Web安全》
- 跨站脚本攻击—XSS
- 跨站请求伪造—CSRF
结语
开发者为了自身利益植入的后门程序
- 攻击者通过某种方法设置的后门程序
可通过监视进程和通信的状态发现被植入的后门程序。但设定在Web应用中的后门程序,由于和正常使用时区别不大,通常很难发现。
参考文献
- 《图解HTTP》
- 吴瀚清《白帽子讲Web安全》
- 跨站脚本攻击—XSS
- 跨站请求伪造—CSRF
结语
我的计算机网络学习之旅暂时就结束了。因为大四还在实习,白天还需要完成公司的任务,只能在晚上或者周末去公司自主学习,前前后后大约有花一两个月的时间。收获很多,这种感觉与当初上计算机网络课的感觉完全不一样,当时上了也就上了,知识都是零零散散的,都没有去串联起来,导致记得不深刻。如今花了心思去整理总结后,有种融会贯通的感觉,在Chrome调试,项目中前后端对接,性能优化方面的认知更为巩固和深刻。