Web开发的安全之旅｜ 青训营

Web开发的安全之旅

Web安全一窥

安全问题"很常见”，会危害

• 用户
• 公司
• 程序员(祭天)

两个角度看web 安全

• 假如你是一个hacker——攻击
• 假如你是一个开发者——防御

攻击篇

Cross-Site Scripting(XXS)

特点

• 通常难以从UI上感知（暗地执行脚本)
• 窃取用户信息(cookie/token)
• 绘制UI(例如弹窗)，诱骗用户点击/填写表单

demo

Srored XSS(数据库攻击)

• 恶意脚本被存在数据库中
• 访问页面→读数据—被攻击
• 危害最大，对全部用户可见

Reflected XSS(数据库攻击)

• 不涉及数据库
• 从 URL 上攻击

Mutation-based XSS(数据库攻击)

• 利用了浏览器渲染DOM的特性（独特优化)
• 不同浏览器，会有区别(按浏览器进行攻击)

Cross-site request forgery(CSRF)

• 在用户不知情的前提下
• 利用用户权限(cookie)
• 构造指定HTTP请求，窃取或修改用户敏感信息

demo

GET

SQL Injection

demo

• 读取请求字段
• 直接以字符串的形式拼接SQL语句

Injection 不止于SQL

• CLI
• os command
• Server-Side Request Forgery(SSRF) ,服务端伪造请求
• 严格而言，SSRF 不是injection，但是原理类似

SSRF

1. 请求【用户自定义】的callback URL
2. web server通常有内网访问权限

Denial of Service(DoS)

通过某种方式（构造特定请求)，导致服务器资源被显著消耗，来不及响应更多请求，导致请求挤压，进而雪崩效应。

插播:正则表达式——贪婪模式

Distributed DoS(DDoS)

短时间内，来自大量僵尸设备的请求流量，服务器不能及时完成全部请求,导致请求堆积，进而雪崩效应，无法响应新请求。

防御篇

XSS

原则

• 永远不信任用户的提交内容
• 不要将用户提交内容直接转换成 DOM

现成的工具

特殊情况：

String->DOM

new DOMParser()

CSP

CSRF防御

token

先有页面，后有请求

避免用户信息被携带: SameSite Cookie

SameSite

Injection

• 找到项目中查询SQL的地方
• 使用prepared statement

Injection beyond SQL

HTTP Strict-Transport-Security (HSTS)

HTTPS特点

将HTTP主动升级到HTTPS

https://bytedance.feishu.cn/file/boxcn9L4YzmTK3mwE3tIBL2UVme