Web安全的原理及解决方案

看了一些Web安全的文章,有些讲得非常好,也非常详细,但不够言简意赅;本文是个吸取了他们的精华之后总结,以清晰明了、言简意赅为目的。

目录

  • 1. XSS (Cross Site Script) 跨站脚本攻击
    • 1.1. 示例
    • 1.2. 原理
    • 1.3. 解决方案
  • 2. CSRF(Cross-Site Request Forgery)跨站请求伪造攻击
    • 2.1. 原理
    • 2.2. 解决方案
  • 3. SQL 注入
    • 3.1. 示例
    • 3.2. 解决方案
  • 4. 点击劫持
    • 4.1. 示例
    • 4.2. 解决方案
  • 5. 命令行注入
    • 5.1. 示例
    • 5.2. 解决方案
  • 6. DNS劫持
    • 6.1. 原理
  • 7. HTTP劫持

内容

1. XSS (Cross Site Script) 跨站脚本攻击

1.1. 示例

如你的 Web 页面中有如下类似的代码:

document.write(
  "" +
    "
" + location.href.substring(location.href.indexOf("default=") + 8) + "
" );

攻击者可以直接通过 URL 注入可执行的脚本代码,如:https://xx.com/xx?default=

1.2. 原理

当页面有动态渲染 或 执行的内容(比如通过:evaldocument.write()innerHTML),且并未对未渲染的内容做转义时,就可以通过注入带有可执行脚本的内容(如:)来运行恶意代码;

1.3. 解决方案

  • 从源头:尽量从自已的服务端获取数据来源,尽量不要从 locationdocument.referrerdocument.forms 等这种可被外部操作的 Api 中获取数据直接渲染。
  • 从出口:在将内容渲染至 dom 中时,一律对内容的 HTML 关键字进行转义(如:<>)。

2. CSRF(Cross-Site Request Forgery)跨站请求伪造攻击

2.1. 原理

CSRF

完成 CSRF 攻击必须具备以下条件:

  1. 浏览器中保存了 站点 A 的 cookie,并且 cookie 还没失效;
  2. 用户访问了恶意 站点 B
  3. 恶意站点 B 可向 A 站点的服务器发送请求,并会自动携带上 站点 A 的 cookie;
  4. 站点 A 没有做任何 CSRF 攻击防御;

2.2. 解决方案

  1. 为每个用户生成一个唯一的 token,该 token 不是通过 cookie 的方式返回给 用户,用户在每次请求时带上该 token;后端收到请求后,验证 token;

3. SQL 注入

3.1. 示例

假设:
用户的登录表单:

用户名:

密码:

后端查询用户的 SQL 语句:

let querySQL = `
SELECT * FROM user 
WHERE username='${username}'
AND psw='${password}'
`;
// 接下来就是执行 sql 语句...

则:
当恶意攻击者输入的用户名是 zoumiaojiang' OR 1 = 1 -- 时,密码随意输入,就可以直接登入系统了;

因为这会使得最终生成的 SQL 语法为:

SELECT * FROM user WHERE username='zoumiaojiang' OR 1 = 1 --' AND psw='xxxx'

在 SQL 中,-- 是注释的意思,所以查询语句就变成了:

SELECT * FROM user WHERE username='zoumiaojiang' OR 1 = 1

这条 SQL 语句的查询条件永远为真,所以意思就是恶意攻击者输入正确的密码,就可以登录进账号;

3.2. 解决方案

  1. 对于需要通过参数拼接的生成数据库语句的情况,要对参数进行 SQL 关键字检查、转义、过滤。
  2. 使用数据库提供的参数化接口来进行数据库的操作,而不是通过拼接数据库语句。

4. 点击劫持

4.1. 示例

假如恶意者想诱骗用户为其在博客的发布的某个文章点赞,那么他可以将他的博客文章用 iframe 嵌入自己设计的网页中,然后 iframe 元素层级下面 与 文章点赞按钮对应的位置上放一个诱导性按钮,然后将 iframe 设置为透明,这样用户就看不到 iframe 了,但能看到那个诱导性按钮,当用户点击 诱导性按钮 时,其实是点击了 iframe 中文章点赞的按钮;

4.2. 解决方案

  1. 在 HTTP 响应头中增加 X-FRAME-OPTIONS 字段,并将该字段设置为以下几种值:
    • DENY:表示页面不允许通过 iframe 的方式展示
    • SAMEORIGIN:表示页面可以在相同域名下通过 iframe 的方式展示
    • ALLOW-FROM:表示页面可以在指定来源的 iframe 中展示
  2. 通过 js self == top 判断当前页面是否运行在 iframe,如果运行在 iframe,则可能通过 js 禁止一些操作 或 把整个页面给移除掉;

5. 命令行注入

5.1. 示例

原理和 SQL注入 类似,就是:服务器要执行命令,但命令是通过请求参数拼接而成的,就会存在被注入恶意命令的风险;

如下:

// 以 Node.js 为例,假如在接口中需要从 github 下载用户指定的 repo
const exec = require('mz/child_process').exec;
let params = `用户输入的参数`;

exec(`git clone ${params} /some/path`);

如果用户输入的参数是 https://github.com/xx/xx.git && rm -rf /* &&,则最终会执行的命令是 git clone https://github.com/xx/xx.git && rm -rf /* && some/path

5.2. 解决方案

解决方案也和 SQL注入 类似:

  1. 对于需要通过参数拼接的生成命令的情况,要对参数进行 命令 关键字检查、转义、过滤。

6. DNS劫持

6.1. 原理

通过篡改电脑 或 路由器的 DNS ,来让一个域名 映射到一个恶意网站上,当你通过域名访问网站时,其实访问的是恶意网站;

7. HTTP劫持

在网络请求链接中的某一个环境上(比如:路由器 或 运营商),拦截 HTTP 的响应,然后篡改响应体 或 在响应体内插入内容(比如:广告)

你可能感兴趣的:(Web安全的原理及解决方案)