Web前端攻击方式及防御措施

╰+哭是因爲堅強的太久メ 2021-11-10 09:02 440阅读 0赞

# 一、XSS #

> 【Cross Site Script】跨站脚本攻击  
> 恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。

## 1、Reflected XSS ##

> 基于反射的XSS攻击，主要依靠站点服务端返回脚本，在客户端触发执行从而发起Web攻击。Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。

## 2、Stored XSS ##

> 该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。

## 3、DOM-based XSS ##

> 本地利用漏洞，这种漏洞存在于页面中客户端脚本自身。

## 4、防御措施 ##

1.  对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。
2.  实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。
3.  确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascript)，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。
4.  使用HTTPS

当然，如上操作将会降低Web业务系统的可用性，用户仅能输入少量的制定字符，人与系统间的交互被降到极致，仅适用于信息发布型站点。

> [XSS的原理分析与解剖][XSS]  
> [XSS攻击及防御][XSS 1]

# 二、 CSRF #

> 【Cross Site Request Forgery】站点伪造请求  
> 跨站点参考伪造通过在访问用户被认为已经通过身份验证的Web应用程序的页面中包含恶意代码或链接来工作。 如果该Web应用程序的会话没有超时，攻击者可能执行未授权的命令。

**防御措施**

1.  验证 HTTP Referer 字段 ;
2.  在请求地址中添加 token 并验证 ;
3.  在 HTTP 头中自定义属性并验证
4.  正确使用GET,POST和Cookie；
5.  在非GET请求中增加伪随机数；

> [预防CSRF攻击][CSRF]  
> [ CSRF攻击介绍及防御][CSRF 1]

# 三、SQL注入 #

> 用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据。  
> 原理如下图所示：  
> ![SQL注入原理][SQL]

**防御措施**

1. 采用sql语句预编译和绑定变量，是防御sql注入的最佳方法。采用JDBC的预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。
 
 <blockquote>
 原理：采用了PreparedStatement，就会将sql语句：”select id, no from user where id=?”
 预先编译好，也就是SQL引擎会预先进行语法分析，产生语法树，生成执行计划，也就是说，后面你输入的参数，无论你输入的是什么，都不会影响该sql语句的 语法结构了,只会被当做字符串字面值参数。
 </blockquote>
 </li>
 <li>
 使用正则表达式来过滤一些sql关键字，如or、where等。
 
 <blockquote>
 <a href="http://blog.csdn.net/acmman/article/details/48862841" rel="nofollow"
 data-token="9b698ccb867cf3aab562d543d1dff7f0">【Web安全与防御】简析Sql注入与防御措施</a>
 </blockquote>
 </li>

# 四、cookie窃取和session劫持 #

> Cookie包含了浏览器客户端的用户凭证，相对较小。Session则维护在服务器，用于维护相对较大的用户信息。cookie被攻击者窃取、session被劫持即攻击者劫持会话，合法登录了你的账户，可以浏览大部分用户资源。  
> **用通俗的语言，Cookie是钥匙，Session是锁芯。**  
> **最基本的cookie窃取方式：xss漏洞。**  
> [cookie窃取和session劫持][cookie_session]

# 五、钓鱼攻击【重定向攻击】 #

> 攻击者会发送给受害者一个合法链接，当链接被点击时，用户被导向一个似是而非的非法网站，从而达到骗取用户信任、窃取用户资料的目的。

**防御措施**  
对所有的重定向操作进行审核,以避免重定向到一个危险的地方.

1.  常见解决方案是白名单,将合法的要重定向的url加到白名单中,非白名单上的域名重定向时拒之;
2.  重定向token,在合法的url上加上token,重定向时进行验证.

# 六、Http Heads攻击 #

> HTTP协议在Response header和content之间，有一个空行，即两组CRLF（0x0D 0A）字符。这个空行标志着headers的结束和content的开始。“聪明”的攻击者可以利用这一点。只要攻击者有办法将任意字符“注入”到headers中，这种攻击就可以发生。

**防御措施**  
过滤所有的response headers，除去header中出现的非法字符，尤其是CRLF。

# 七、拒绝服务攻击【DoS】 #

> 攻击者想办法让目标机器停止提供服务：一是使用SYN flood迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把非法用户的连接复位，影响合法用户的连接。

**防御措施**  
对于SYN flood：启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。

# 八、文件上传攻击 #

> 用户上传一个可执行的脚本文件，并通过此脚本文件获得了执行服务端命令的能力。

**分类**

1.  **文件名攻击**：上传的文件采用上传之前的文件名,可能造成客户端和服务端字符码不兼容,导致文件名乱码问题;文件名包含脚本,从而造成攻击.
2.  **文件后缀攻击**：上传的文件的后缀可能是exe可执行程序,js脚本等文件,这些程序可能被执行于受害者的客户端,甚至可能执行于服务器上.因此我们必须过滤文件名后缀,排除那些不被许可的文件名后缀.
3.  **文件内容攻击**：IE6有一个很严重的问题 , 它不信任服务器所发送的content type，而是自动根据文件内容来识别文件的类型，并根据所识别的类型来显示或执行文件.如果上传一个gif文件,在文件末尾放一段js攻击脚本,就有可能被执行.这种攻击,它的文件名和content type看起来都是合法的gif图片,然而其内容却包含脚本,这样的攻击无法用文件名过滤来排除，而是必须扫描其文件内容，才能识别。

**防御措施**

1.  文件上传的目录设置为不可执行。
2.  判断文件类型。在判断文件类型的时候，可以结合使用MIME Type，后缀检查等方式。因为对于上传文件，不能简单地通过后缀名称来判断文件的类型，因为攻击者可以将可执行文件的后缀名称改为图片或其他后缀类型，诱导用户执行。
3.  对上传的文件类型进行白名单校验，只允许上传可靠类型。
4.  上传的文件需要进行重新命名，使攻击者无法猜想上传文件的访问路径，将极大地增加攻击成本。
5.  限制上传文件的大小。
6.  单独设置文件服务器的域名。

[XSS]: http://www.cnblogs.com/lovesong/p/5199623.html
[XSS 1]: http://blog.csdn.net/ghsau/article/details/17027893
[CSRF]: https://my.oschina.net/biezhi/blog/490249
[CSRF 1]: http://blog.csdn.net/u012322925/article/details/51290054
[SQL]: /images/20211109/16524077e47f4e08bb8731fa31319561.png
[cookie_session]: http://www.2cto.com/article/201411/355266.html