8.1.1 XSS攻击
XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。
常见的XSS攻击类型有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击的目的,如下图所示。
攻击者发布的微博中含有恶意脚本URL(在实际应用中,该脚本在攻击者自己的服务器上,URL中包含脚本的链接),用户点击该URL,脚本会自动关注攻击者的新浪微博ID,发布含有恶意脚本URL的微博,攻击就扩散了。
攻击者可以采用XSS攻击,偷取用户Cookie、密码等数据,进而伪造交易、盗窃用户财产、窃取情报。
另一种XSS攻击是持久型XSS攻击,黑客提交包含有恶意脚本的请求,保存在被攻击的Web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的,如下图所示。此种攻击经常使用在论坛,博客等Web应用中。
常见应对手段:
消毒
XSS攻击者一般都是通过在请求中嵌入恶意脚本达到攻击的目的,这些脚本是一般用户输入中不使用的,如果进行过滤和消毒处理,即对某些HTML危险字符转义,如”>”转义为”>”、”<“转义为”<”等,就可以防止大部分攻击。为了避免对不必要的内容错误转义,如”3<5″中的”<“需要进行文本匹配后再转义,如”<img src=”这样的上下文中的”<“才转义。事实上,消毒几乎是所有网站最必备的XSS防攻击手段。
HttpOnly
浏览器禁止页面JavaScript访问带有HttpOnly属性的Cookie。防止XSS攻击者窃取Cookie。
对于存放敏感信息的Cookie,如用户认证信息等,可通过对该Cookie添加HttpOnly属性,避免被攻击脚本窃取。
8.1.2 注入攻击
主要有两种形式,SQL注入攻击和OS注入攻击。
SQL注入攻击的原理如下图所示。
攻击者在HTTP请求中注入恶意SQL命令(drop table users;),服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。
SQL注入攻击需要攻击者对数据库结构有所了解才能进行,攻击者获取数据库表结构信息的手段有如下几种。
开源
如果使用开源软件搭建的网站,网站数据结构是公开的,攻击者就可以直接获取。
错误回显
如果网站开启错误回显,即服务器内部500错误会显示到浏览器上。攻击者通过故意构造非法参数,使服务端异常信息输出到浏览器端,为攻击者猜测数据库表结构提供了便利。
盲注
网站关闭错误回显,攻击者根据页面变化情况判断SQL语句的执行情况,据此猜测数据库表结构,此种方式攻击难度较大。
防御SQL注入攻击首先要避免被攻击者猜测到表名等数据库表结构信息,此外还可以采用如下方式。
消毒
和防XSS攻击一样,请求参数消毒使一种比较简单粗暴又有效的手段。通过正则匹配,过滤请求数据中可能注入的SQL,如”drop table”、”b(?:updateb.*?bsetdeletebW*?bfrom)b”等。
参数绑定
使用预编译手段,绑定参数是最好的防SQL注入方法。目前许多数据访问层框架,如MyBatis、Hibernate等,都实现SQL预编译和参数绑定,攻击者的恶意SQL会被当作SQL的参数,而不是SQL命令被执行。
除了SQL注入,攻击者还根据具体应用,注入OS命令、编程语言代码等,利用程序漏洞,达到攻击目的。
8.1.3 CSRF攻击
CSRF(Cross Site Request Forgery,跨站点请求伪造),攻击者通过跨站点请求,以合法用户的身份进行非法操作,如转账交易、发表评论等,如下图所示。
CSRF的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核心是利用了浏览器Cookie或服务器Session策略,盗取用户身份。
相应地,CSRF地防御手段主要是识别请求者身份。主要有下面几种方法。
表单Token
CSRF是一个伪造用户请求地操作,所以需要构造用户请求的所有参数才可以。表单Token通过在请求参数中增加随机数的办法来阻止攻击者获得所有请求参数:在页面表单中增加一个随机数作为Token,每次响应页面的Token都不相同,从正常页面提交的请求会包含该Token值,而伪造的请求无法获得该值,服务器检查请求参数中Token的值是否存在并且正确以确定请求提交者是否合法。
验证码
相对来说,验证码则更加简单有效,即请求提交时,需要用户输入验证码,以避免在用户不知情的情况下被攻击者伪造请求。但是输入验证码是一个糟糕的用户体验,所以请在必要时使用,如支付交易等关键页面。
Referer check
HTTP请求头的Referer域中记录者请求来源,可通过检查请求来源,验证其是否合法。很多网站使用这个功能实现图片防盗链(如果图片访问页面来源不是来自自己网站的网页就拒绝)。
8.1.4 其他攻击和漏洞
Error Code
错误回显,许多Web服务器默认是打开异常信息输出的,即服务器端未处理的异常堆栈信息会直接输出到客户端浏览器,这种方式虽然对程序调试和错误报告有好处,但同时也给黑客造成可乘之机。
通过故意制造非法输入,是系统运行时报错,获得异常信息,从而寻找系统漏洞进行攻击。
防御手段:
通过配置Web服务器参数,跳转500页面到专门的错误页面即可,Web应用常用的MVC框架也有这个功能。
HTML注释
程序发布前需要进行代码review或自动扫描,避免HTML注释漏洞。
文件上传
一般网站都会有文件上传功能,设置头像、分享视频、上传附件等。如果上传的是可执行程序,并通过该程序获得服务器命令执行能力,那么攻击者几乎可以在服务器上为所欲为,并以此为跳板攻击集群环境的其他机器。
最有效的防御手段是设置上传文件白名单,只允许上传可靠的文件类型。
此外还可以修改文件名、使用专门的存储等手段,保护服务器免受上传文件攻击。
路径遍历
攻击者在请求的URL中使用相对路径,遍历系统未开放的目录和文件。
防御方法主要是将JS、CSS等资源文件部署在独立服务器、使用独立域名,其他文件不使用静态URL访问,动态参数不包含文件路径信息。
8.1.5 Web应用防火墙
ModSecurity是一款开源的Web应用防火墙,探测攻击并保护Web应用程序,即可以嵌入Web应用服务器中,也可以作为独立的应用程序启动。ModSecurity最早只是Apache的一个模块,现在已经有Java、.Net多个版本,并支持Nginx。
ModSecurity采用处理逻辑与攻击规则集合分离的架构模式。
处理逻辑(执行引擎)负责请求和响应的拦截过滤,规则加载执行等功能。而攻击规则集合则负责描述对具体攻击的规则定义、模式识别、防御策略等功能(可以通过文本方式进行描述)。
处理逻辑比较稳定,规则集合需要不断针对漏洞进行升级,这是一种可扩展的架构设计,如下图所示。
除了开源的ModSecurity,还有一些商业产品也可以实现Web应用防火墙功能,如NEC的SiteShell。
8.1.6 网站安全漏洞扫描
网站安全漏洞扫描工具是根据内置规则,构造具有攻击性的URL请求,模拟黑客攻击行为,用以发现网站安全漏洞的工具。许多大型网站的安全团队都有自己开发的漏洞扫描工具,不定期地对网站的服务器进行扫描,查漏补缺。市场上也有很多商用的网站安全漏洞扫描平台。
原文链接:https://www.cnblogs.com/xinrong2019/p/11620983.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18652