XSS CSRF SQL注入

常见的Web攻击方式

TIP

• XSS (Cross Site Scripting) 跨站脚本攻击
• CSRF（Cross-site request forgery）跨站请求伪造
• SQL注入

XSS

INFO

• XSS：跨站脚本攻击，允许攻击者将恶意代码植入到提供给其它用户使用的页面中
• XSS涉及到三方，即攻击者、客户端与Web应用
• XSS的攻击目标是为了盗取存储在客户端的Cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后，攻击者甚至可以假冒合法用户与网站进行交互

  <input type="text" value=""><script>alert('XSS');</script>">
  <button>搜索</button>
  <div>
    您搜索的关键词是："><script>alert('XSS');</script>
  </div>

• 浏览器无法分辨出 <script>alert('XSS');</script> 是恶意代码，
• 因而将其执行，试想一下，如果是获取Cookie发送对黑客服务器呢？
• 根据攻击的来源，XSS攻击可以分成：
  • 存储型
  • 反射型
  • DOM型

存储型XSS的攻击步骤

INFO

• 攻击者将恶意代码提交到目标网站的数据库中
• 用户打开目标网站时，网站服务端将恶意代码从数据库取出，拼接在HTML中返回给浏览器
• 用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行
• 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作
• 这种攻击常见于带有用户保存数据的网站功能，如论坛发帖、商品评论、用户私信等

反射型XSS的攻击步骤

INFO

• 攻击者构造出特殊的URL，其中包含恶意代码
• 用户打开带有恶意代码的URL时，网站服务端将恶意代码从URL中取出，拼接在HTML中返回给浏览器
• 用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行
• 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作

DOM型XSS的攻击步骤

INFO

• 攻击者构造出特殊的URL，其中包含恶意代码
• 用户打开带有恶意代码的URL
• 用户浏览器接收到响应后解析执行，前端JavaScript取出URL中的恶意代码并执行
• 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作

反射型XSS跟存储型XSS的区别

INFO

• 存储型XSS的恶意代码存在数据库里，反射型XSS的恶意代码存在URL里
• 反射型XSS漏洞常见于通过URL传递参数的功能，如网站搜索、跳转等
• 由于需要用户主动打开恶意的URL才能生效，攻击者往往会结合多种手段诱导用户点击
• POST的内容也可以触发反射型XSS，只不过其触发条件比较苛刻（需要构造表单提交页面，并引导用户点击），所以非常少见

DOM型XSS跟前两种XSS的区别

INFO

• DOM型XSS攻击中，取出和执行恶意代码由浏览器端完成，属于前端JavaScript自身的安全漏洞
• 其他两种 XSS 都属于服务端的安全漏洞

XSS的预防

INFO

• XSS攻击的两大要素：
  • 攻击者提交而恶意代码
    • 我们在用户输入的过程中，过滤掉用户输入的恶劣代码，然后提交给后端，但是如果攻击者绕开前端请求，直接构造请求就不能预防了
  • 浏览器执行恶意代码
    • 在使用 .innerHTML、.outerHTML、document.write() 时要特别小心，不要把不可信的数据作为 HTML 插到页面上，而应尽量使用 .textContent、.setAttribute() 等

CSRF

INFO

• CSRF（Cross-site request forgery）跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求
• 利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目
• 一个典型的CSRF攻击有如下的流程：
  • 受害者登录a.com，并保留了登录凭证（Cookie）
  • 攻击者引诱受害者访问了b.com
  • b.com向a.com发送了一个请求：a.com/act=xx，浏览器会默认携带a.com的Cookie
  • a.com接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是受害者自己发送的请求
  • a.com以受害者的名义执行了act=xx
  • 攻击完成，攻击者在受害者不知情的情况下，冒充受害者，让a.com执行了自己定义的操作
• CSRF可以通过get请求，即通过访问img的页面后，浏览器自动访问目标地址，发送请求
• 同样，也可以设置一个自动提交的表单发送post请求，如下：

  <form action="http://bank.example/withdraw" method=POST>
    <input type="hidden" name="user" value="Joy" />
    <input type="hidden" name="amount" value="10000" />
    <input type="hidden" name="for" value="hacker" />
  </form>
  <script> document.forms[0].submit(); </script>

• 问该页面后，表单会自动提交，相当于模拟用户完成了一次POST操作
• 还有一种为使用a标签的，需要用户点击链接才会触发，访问该页面后，表单会自动提交，相当于模拟用户完成了一次POST操作

  < a href="http://test.com/csrf/withdraw.php?amount=10000&for=hacker" target="_blank">重磅消息！！</a>

CSRF的特点

INFO

• 攻击一般发起在第三方网站，而不是被攻击的网站。被攻击的网站无法防止攻击发生
• 攻击利用受害者在被攻击网站的登录凭证，冒充受害者提交操作，而不是直接窃取数据
• 整个过程攻击者并不能获取到受害者的登录凭证，仅仅是“冒用”
• 跨站请求可以用各种方式：图片URL、超链接、CORS、Form提交等等，部分请求方式可以直接嵌入在第三方论坛、文章中，难以进行追踪

CSRF的预防

INFO

• CSRF通常从第三方网站发起，被攻击的网站无法防止攻击发生，只能通过增强自己网站针对CSRF的防护能力来提升安全性
• 防止CSRF常用方案如下：
  • 阻止不明外域的访问
    • 同源检测
    • SameSite Cookie
  • 提交时要求附加本域才能获取的信息
    • CSRF Token
    • 双重Cookie验证
• 这里主要讲讲token这种形式，流程如下：
  • 用户打开页面的时候，服务器需要给这个用户生成一个Token
  • 对于GET请求，Token将附在请求地址之后。对于POST请求来说，要在form的最后加上
  • 当用户从客户端得到了Token，再次提交给服务器的时候，服务器需要判断Token的有效性

  <input type=”hidden” name=”csrfToken” value=”tokenValue”/>

SQL注入

INFO

• SQL注入攻击，是通过将恶意的SQL查询或添加语句插入到应用的输入参数中，再在后台SQL服务器上解析执行进行的攻击
• 流程如下所示：
  • 找出SQL漏洞的注入点
  • 判断数据库的类型以及版本
  • 猜解用户名和密码
  • 利用工具查找Web后台管理入口
  • 入侵和破坏
• 预防方式如下：
  • 严格检查输入变量的类型和格式
  • 过滤和转义特殊字符
  • 对访问数据库的Web应用程序采用Web应用防火墙