XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。
常见的XSS攻击类型有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶意脚 本的链接,达到攻击的目的,如图8.1所示。上文提到的新浪微博攻击就是一种反射型 XSS攻击。攻击者发布的微博中有一个含有恶意脚本的URL (在实际应用中,该脚本在 攻击者自己的服务器www.2kt.cn, URL中包含脚本的链接),用户点击该URL,脚本会 自动关注攻击者的新浪微博ID,发布含有恶意脚本URL的微博,攻击就被扩散了。
这次攻击还只是一次恶作剧而已,现实中,攻击者可以采用XSS攻击,偷取用户Cookie,密码等重要数据,进而伪造交易。盗取用户财产,窃取情报。
另外一种XSS攻击是持久型XSS攻击,黑客提交含有恶意脚本的请求,保存在被攻击的Web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的,如图8.2所示。此种攻击经常使用在论坛,博客等Web应用中。
XSS攻击相对而言是一种“古老”的攻击手段,却又历久弥新,不断变化出新的攻 击花样,许多以前认为不可能用来攻击的漏洞也逐渐被攻击者利用。因此XSS防攻击也 是非常复杂的。主要手段有如下两种。
消毒
XSS攻击者一般都是通过在请求中嵌入恶意脚本达到攻击的目的,这些脚本是一般 用户输入中不使用的,如果进行过滤和消毒处理,即对某些html危险字符转义,如 转义为“>”、"V”转义为“<”等,就可以防止大部分攻击。为了避免对不必要的内 容错误转义,如“3<5”中的“V”需要进行文本匹配后再转义,如“vimg src=”这样的上下文中的才转义。事实上,消毒几乎是所有网站最必备的XSS防攻击手段。
HttpOnly
最早由微软提出,即浏览器禁止页面JavaScript访问带有HttpOnly属性的Cookie0 HttpOnly并不是直接对抗XSS攻击的,而是防止XSS攻击者窃取Cookie。对于存放敏感 信息的Cookie,如用户认证信息等,可通过对该Cookie添加HttpOnly属性,避免被攻击 脚本窃取。
注入攻击主要有两种形式,SQL注入攻击和OS注入攻击。SQL注入攻击的原理如图8.3所示。攻击者在HTTP请求中注入恶意SQL命令(drop table users;),服务器用请 求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。
SQL注入攻击需要攻击者对数据库结构有所了解才能进行,攻击者获取数据库表结构信息的手段有如下几种。
开源
如果网站采用开源软件搭建,如用Discuz!搭建论坛网站,那么网站数据库结构就是 公开的,攻击者可以直接获得。
错误回显
如果网站开启错误回显,即服务器内部500错误会显示到浏览器上。攻击者通过故 意构造非法参数,使服务端异常信息输出到浏览器端,为攻击猜测数据库表结构提供了 便利。
盲注
网站关闭错误回显,攻击者根据页面变化情况判断SQL语句的执行情况,据此猜测 数据库表结构,此种方式攻击难度较大。
防御SQL注入攻击首先要避免被攻击者猜测到表名等数据库表结构信息,此外还可
以采用如下方式。
消毒
和防XSS攻击一样,请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹 配,过滤请求数据中可能注入的SQL,如“drop table ”" \b(?:update\b.?\bset |delete\b\W?\bfom)\b, 等。
参数绑定
使用预编译手段,绑定参数是最好的防SQL注入方法。目前许多数据访问层框架, 如IBatis, Hibernate等,都实现SQL预编译和参数绑定,攻击者的恶意SQL会被当做SQL 的参数,而不是SQL命令被执行。
除了 SQL注入,攻击者还根据具体应用,注入OS命令、编程语言代码等,利用程 序漏洞,达到攻击目的。
CSRF ( Cross Site Request Forgery,跨站点请求伪造),攻击者通过跨站请求,以合法 用户的身份进行非法操作,如转账交易、发表评论等,如图8.4所示。CSRF的主要手法 是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核心是利用了浏 览器Cookie或服务器Session策略,盗取用户身份。
相应地,CSRF的防御手段主要是识别请求者身份。主要有下面几种方法。
表单Token
CSRF是一个伪造用户请求的操作,所以需要构造用户请求的所有参数才可以。表单Token通过在请求参数中增加随机数的办法来阻止攻击者获得所有请求参数:在页面表单中增加一个随机数作为Token,每次响应页面的Token都不相同,从正常页面提交的请求 会包含该Token值,而伪造的请求无法获得该值,服务器检查请求参数中Token的值是否 存在并且正确以确定请求提交者是否合法。
验证码
《一线大厂Java面试题解析+后端开发学习笔记+最新架构讲解视频+实战项目源码讲义》无偿开源 威信搜索公众号【编程进阶路】
相对说来,验证码则更加简单有效,即请求提交时,需要用户输入验证码,以避免 在用户不知情的情况下被攻击者伪造请求。但是输入验证码是一个糟糕的用户体验,所 以请在必要时使用,如支付交易等关键页面。
Referer check
HTTP请求头的Referer域中记录着请求来源,可通过检查请求来源,验证其是否合 法。很多网站使用这个功能实现图片防盗链(如果图片访问的页面来源不是来自自己网 站的网页就拒绝)o