整合營銷服務(wù)商
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
SRF是Cross Site Request Forgery的縮寫,翻譯過來就是跨站請(qǐng)求偽造。 也被稱為 one click attack/session riding,縮寫為:CSRF/XSRF。
你這可以這么理解CSRF攻擊:從一個(gè)網(wǎng)站A中發(fā)起一個(gè)到網(wǎng)站B的請(qǐng)求,而這個(gè)請(qǐng)求是經(jīng)過了偽裝的, 偽裝操作達(dá)到的目的就是讓請(qǐng)求看起來像是從網(wǎng)站B中發(fā)起的, 也就是說,讓B網(wǎng)站所在的服務(wù)器端誤以為該請(qǐng)求是從自己網(wǎng)站發(fā)起的,而不是從A網(wǎng)站發(fā)起的。當(dāng)然,請(qǐng)求一般都是惡意的。
要真正理解為什么有CSRF攻擊存在,那先了解幾個(gè)瀏覽器的跨域訪問限制。
cookie可以跨二級(jí)域名來訪問,這個(gè)很好理解,例如你在www.cmj.com所在的web應(yīng)用程序創(chuàng)建了一個(gè)cookie, 在cs.cmj.com這樣的二級(jí)域名對(duì)應(yīng)的應(yīng)用程序中可以訪問,當(dāng)然你在創(chuàng)建cookie的時(shí)候需要指出Domain屬性為cmj.com。 其他情況下的不同域名就無法訪問這個(gè)cookie了。
js跨域是指通過js在不同的域之間進(jìn)行數(shù)據(jù)傳輸或通信,比如用ajax向一個(gè)不同的域請(qǐng)求數(shù)據(jù), 或者通過js獲取頁面中不同域的框架中(iframe)的數(shù)據(jù)。只要協(xié)議、域名、端口有任何一個(gè)不同,都被當(dāng)作是不同的域。
在js中,我們直接用XMLHttpRequest請(qǐng)求不同域上的數(shù)據(jù)時(shí),是不可以的。 但是,在頁面上引入不同域上的js腳本文件卻是可以的,jsonp正是利用這個(gè)特性來實(shí)現(xiàn)的。
如果你的頁面使用jquery,那么通過它封裝的方法就能很方便的來進(jìn)行jsonp操作了。 普通的jquery的ajax調(diào)用方法基本都采用這個(gè)方式,所以就可以調(diào)用不同域名實(shí)現(xiàn)的API了。
$.getJSON方法會(huì)自動(dòng)判斷是否跨域,不跨域的話,就調(diào)用普通的ajax方法; 跨域的話,則會(huì)以異步加載js文件的形式來調(diào)用jsonp的回調(diào)函數(shù)。
瀏覽器的同源策略,不能通過ajax的方法去請(qǐng)求不同源中的文檔。
我們只要把http://www.example.com/a.html 和 http://example.com/b.html這兩個(gè)頁面的document.domain都設(shè)成相同的域名就可以了。
CSRF攻擊是源于WEB的隱式身份驗(yàn)證機(jī)制!WEB的身份驗(yàn)證機(jī)制雖然可以保證一個(gè)請(qǐng)求是來自于某個(gè)用戶的瀏覽器,但卻無法保證該請(qǐng)求是用戶批準(zhǔn)發(fā)送的!
A網(wǎng)站訪問B網(wǎng)站服務(wù)器的一些需要認(rèn)證的資源的時(shí)候,如果沒有Cookie信息,服務(wù)器是拒絕訪問的,那么A網(wǎng)站就無法進(jìn)行惡意操作。 而偽造成B網(wǎng)站的請(qǐng)求,就可以將B網(wǎng)站的Cookie一起發(fā)到B服務(wù)器,這個(gè)時(shí)候就服務(wù)器就認(rèn)為該請(qǐng)求是合法的,就會(huì)給出正確的響應(yīng), 這個(gè)時(shí)候,A網(wǎng)站就達(dá)到目的了。
假設(shè)有一個(gè)微博網(wǎng)站B,B有一個(gè)“加關(guān)注”的功能,即一個(gè)用戶可以關(guān)注另一個(gè)用戶, 而這個(gè)功能是這樣的實(shí)現(xiàn)的:用戶每次點(diǎn)擊“加關(guān)注”按鈕的時(shí)候,就會(huì)向服務(wù)器發(fā)送一個(gè)GET請(qǐng)求,URL如下:
http://www.bdomain.com/addfriends?uid=123
URL中的參數(shù)uid表示的是你要關(guān)注的用戶的ID。
在正常情況下,即你登錄B網(wǎng)站后,點(diǎn)擊“加關(guān)注”按鈕,瀏覽器會(huì)將上面的URL連同B網(wǎng)站產(chǎn)生的Cookie一起發(fā)送到B網(wǎng)站的服務(wù)器, B服務(wù)器首先通過Cookie進(jìn)行用戶認(rèn)證,如果Cookie中的信息正確,就會(huì)進(jìn)行向數(shù)據(jù)庫中寫入記錄,這樣,你就成功關(guān)注了ID為123的用戶。
假如我是一個(gè)惡意用戶,我想讓更多的人關(guān)注我,而我又不想通過正常的渠道去實(shí)現(xiàn),因?yàn)楫吘拐G辣容^浪費(fèi)時(shí)間, 于是我便開始想歪主意,碰巧,B網(wǎng)站的“加關(guān)注”的實(shí)現(xiàn)原理被我發(fā)現(xiàn)了。這個(gè)時(shí)候,我便進(jìn)行了如下操作:
首先我在我自己的網(wǎng)站A里發(fā)了篇文章,文章中全是妖嬈的美女圖片,大家都喜歡美女嘛,所以就會(huì)有很多人來看我的這些美女, 我們知道,圖片在網(wǎng)頁中大都是通過<img scr="http://xxxx/xx.png"/>這樣的形式實(shí)現(xiàn)的,圖片加載的時(shí)候就會(huì)請(qǐng)求src中指定的URL, 而我就把眾多美女圖片的src寫成了B博客里”加關(guān)注”的URL,不同的是將參數(shù)uid的值都寫成了我在B網(wǎng)站中的ID(假設(shè)是456),即:
http://www.bdomain.com/addfriends?uid=456
瀏覽器一看請(qǐng)求的域名是bdomain.com,便將存放在客戶端的B網(wǎng)站的Cookie給順帶一起發(fā)了過去。
借用別人的圖文來說明一個(gè)整個(gè)CSRF的過程:
從上圖可以看出,要完成一次CSRF攻擊,受害者必須依次完成兩個(gè)步驟:
防御效果是從服務(wù)端著手效果比較好,現(xiàn)在一般的CSRF防御也都在服務(wù)端進(jìn)行。
所有表單都包含同一個(gè)偽隨機(jī)值,這可能是最簡單的解決方案了, 因?yàn)楣粽卟荒塬@得第三方的Cookie(理論上),所以表單中的數(shù)據(jù)也就構(gòu)造失敗了。
這個(gè)方法個(gè)人覺得已經(jīng)可以杜絕99%的CSRF攻擊了,那還有1%呢….由于用戶的Cookie很容易由于網(wǎng)站的XSS漏洞而被盜取,這就另外的1%。
每次的用戶提交都需要用戶在表單中填寫一個(gè)圖片上的隨機(jī)字符串,這個(gè)方案可以完全解決CSRF,但個(gè)人覺得在易用性方面似乎不是太好。
推薦閱讀:
Web常見安全漏洞-XSS攻擊
Web常見安全漏洞-SQL注入
著互聯(lián)網(wǎng)的發(fā)展,早已經(jīng)不是僅限于簡單的網(wǎng)頁或是社交,電商購物、銀行轉(zhuǎn)賬、企業(yè)管理等等。上次看到一個(gè)新聞,后臺(tái)程序員離職后,利用職位之便,每天還不斷的給自己轉(zhuǎn)賬,轉(zhuǎn)了好多次才被發(fā)現(xiàn),想想這多可怕。或者會(huì)竊取重要的商業(yè)信息,所以 Web 安全也是非常值得注意的。
什么是 Web 安全?
黑客利用網(wǎng)絡(luò)操作系統(tǒng)的漏洞和 Web 服務(wù)器的 SQL 注入漏洞等,得到 Web 服務(wù)器的控制權(quán),輕則篡改、刪除、添加數(shù)據(jù),重則竊取重要的商業(yè)信息、轉(zhuǎn)賬等,更嚴(yán)重的就是在網(wǎng)頁中植入惡意代碼,使網(wǎng)站受到不可預(yù)期的侵害。
常見的攻擊可分為三類:XSS、CSRF、SQL注入。
Cross Site Scripting 跨站腳本攻擊,為了與 CSS 區(qū)分,所以簡寫為 XSS 。
惡意攻擊給 Web 頁面植入惡意的 Script 代碼,當(dāng)用戶瀏覽該網(wǎng)頁的時(shí)候,嵌入 Web 里面的 script 代碼會(huì)被執(zhí)行,從而達(dá)到攻擊的效果。
講直白點(diǎn),就是惡意攻擊者通過在輸入框處添加惡意 script 代碼,用戶瀏覽網(wǎng)頁的時(shí)候執(zhí)行 script 代碼,從而達(dá)到惡意攻擊用戶的目的。
1.1、XSS 的危害
1.2、XSS 的攻擊類型
發(fā)出請(qǐng)求時(shí),XSS代碼會(huì)出現(xiàn)在 url 中,作為輸入提交到服務(wù)器端,服務(wù)器再返回給瀏覽器,然后瀏覽器解析執(zhí)行 XSS 代碼,這一過程像一次反射,所以稱之為反射型。
這種類型的攻擊,通常是把 XSS 攻擊代碼放入請(qǐng)求地址的 數(shù)據(jù)傳輸部分,如:
http://www.xxx.com?q=<script>alert("惡意腳本")</script>
或
http://www.xxx.com?n=<img sec="1 onerror=alert('惡意代碼')">提交的 XSS 代碼會(huì)存儲(chǔ)在服務(wù)器端,如數(shù)據(jù)庫、內(nèi)存、文件系統(tǒng)內(nèi),下次請(qǐng)求目標(biāo)頁面時(shí)不再提交 XSS 代碼。
如在留言板輸入框位置添加 script 代碼或 html、css 代碼,把代碼為轉(zhuǎn)義,直接存入數(shù)據(jù)庫。
文檔型的 XSS 攻擊不會(huì)經(jīng)過服務(wù)器,作為中間人的角色,在數(shù)據(jù)傳輸過程中劫持到網(wǎng)絡(luò)數(shù)據(jù)包,然后修改里面的 html 文檔。
1.3、XSS 的防御措施
措施1:編碼。
對(duì)這些數(shù)據(jù)進(jìn)行 html entity 編碼。客戶端和服務(wù)器端都需要進(jìn)行轉(zhuǎn)義編碼。
<script>alert('惡意代碼')</script>轉(zhuǎn)義后為:
<script>alert('惡意代碼')</script>
放入上邊的代碼中,還是會(huì)自動(dòng)解析為上邊的代碼,所以放到外邊。
措施2:過濾。
移除用戶上傳的 DOM 屬性,如上邊的 onerror。
移除用戶上傳的 style、script、iframe 節(jié)點(diǎn)。
// 如
<div>
<style>
body { display:none }
</style>
</div>措施3:利用 CSP
瀏覽器中的內(nèi)容安全策略,就是決策瀏覽器加載哪些資源。
Cross site request forgery 跨站點(diǎn)請(qǐng)求偽造。
攻擊者誘導(dǎo)受害者進(jìn)入第三方網(wǎng)站,向被攻擊網(wǎng)站發(fā)送跨站請(qǐng)求,利用被攻擊者在被攻擊網(wǎng)站已經(jīng)獲取的注冊(cè)憑證,繞過后臺(tái)的用戶驗(yàn)證達(dá)到冒充用戶對(duì)攻擊網(wǎng)站進(jìn)行的某種操作。
CSRF 攻擊特點(diǎn):
2.1、CSRF 的危害
2.2、CSRF 的攻擊類型
使用非常簡單,只需要一個(gè) http 請(qǐng)求。
比如頁面中的一個(gè)圖片添加鏈接,還有 iframe、script ,最容易完成 CSFR 攻擊,且不易被用戶發(fā)現(xiàn),隱蔽性超強(qiáng)。
由于 get 接口是最常見的一種 CSRF 攻擊類型,所以很多重要的接口不適用 get 方式,使用 post 一定程度上可以防止 CSRF 攻擊。
這種類型的 SCRF 攻擊,通常使用的是一個(gè)自動(dòng)提交的表單。簡單講就是偽造一個(gè)自動(dòng)提交的表單,一旦訪問頁面時(shí),表單就會(huì)自動(dòng)提交。
如:
<form action="http://xxx.com/widthdraw" method="post">
<input type="hidden" name="account" value="web" />
<input type="hidden" name="psd" value="hacker" />
</form>
<script type="text/javascript">
document.forms[0].submit()
</script>比起前兩個(gè),這個(gè)類型的比較少見,鏈接類型的攻擊必須要用戶點(diǎn)擊鏈接,才能觸發(fā)。
通常在論壇中發(fā)布的圖片嵌入惡意的鏈接,或以廣告的形式誘導(dǎo)用戶點(diǎn)擊中招。所以我們?cè)卩]箱中看到亂七八糟的廣告,盡量別點(diǎn)擊,防止遇到三方攻擊。
偽造一種新型的攻擊方式,用戶誤以為是在網(wǎng)站正常登錄,實(shí)際上是使用賬戶和密碼登錄到了黑客網(wǎng)站,這樣黑客可以監(jiān)聽到用戶的所有操作,甚至知道用戶的賬戶信息。
2.3、CSRF 的防御措施
措施1:檢查 http 頭部的 referer 信息
referer 包含在請(qǐng)求頭內(nèi),表示請(qǐng)求接口的頁面來源。
服務(wù)端通過檢查 referer 信息,發(fā)現(xiàn)來源于外域時(shí),就可以攔截請(qǐng)求,通過阻止不明外域的訪問,一定程度上可以減少攻擊。
措施2:使用一次性令牌
使用一次性令牌做身份識(shí)別,黑客是無法通過跨域拿到一次性令牌的,所以服務(wù)端可以通過判斷是否攜帶一次性令牌,就可以排除一部分的非法操作者。
措施3:使用驗(yàn)證圖片
服務(wù)端生成一些文本和數(shù)字,在服務(wù)端保存這份信息,同時(shí)以圖片的形式在客戶端展現(xiàn),讓用戶去合法填寫信息,當(dāng) CSRF 攻擊時(shí),拿不到這個(gè)驗(yàn)證碼的時(shí)候,無法向服務(wù)器提供這個(gè)信息,導(dǎo)致匹配失敗,從而識(shí)別它是非法攻擊者。
這個(gè)應(yīng)用非常常見,之前登錄的時(shí)候,需要填寫圖形驗(yàn)證碼。
現(xiàn)在滑動(dòng)圖片驗(yàn)證也非常常見。
SQL 注入,一般發(fā)生在注冊(cè)、評(píng)論、添加等,只有有用戶輸入的地方,就有可能發(fā)生 SQL 注入。SQL 注入是一種常見的 Web 安全漏洞,攻擊者會(huì)利用這個(gè)漏洞,可以訪問或修改數(shù)據(jù),利用潛在的數(shù)據(jù)庫漏洞進(jìn)行攻擊。
所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說,它是利用現(xiàn)有應(yīng)用程序,將(惡意的)SQL命令注入到后臺(tái)數(shù)據(jù)庫引擎執(zhí)行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫,而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語句。比如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼大多就是通過WEB表單遞交查詢字符暴出的,這類表單特別容易受到SQL注入式攻擊.
3.1、SQL 注入危害
任意的賬號(hào)都可以登錄,可以進(jìn)行任意的操作,粗暴點(diǎn)講,就是隨便來。
3.2、 SQL注入分類
當(dāng)輸入的參數(shù)為整數(shù)時(shí),則有可能存在數(shù)字型漏洞。
當(dāng)輸入?yún)?shù)為字符串時(shí),則可能存在字符型注入漏洞。數(shù)字型與字符型注入最大的區(qū)別在于:數(shù)字型不需要單引號(hào)閉合,而字符型一般需要使用單引號(hào)來閉合。
字符型注入最關(guān)鍵的是如何閉合 SQL 語句以及注釋多余的代碼。
其實(shí)我覺得 SQL 注入只有兩種類型:數(shù)字型與字符型。很多人可能會(huì)說還有如:Cookie 注入、POST 注入、延時(shí)注入等。
的確如此,但這些類型的注入歸根結(jié)底也是數(shù)字型和字符型注入的不同展現(xiàn)形式或者注入的位置不同罷了。
以下是一些常見的注入叫法:
3.3、SQL注入的防范措施
凡是用戶輸入的地方,我們都應(yīng)該防止黑客攻擊,永遠(yuǎn)不要相信用戶的輸入。所以對(duì)應(yīng)的防御措施分別有:
前后端分離之后,前端每天都會(huì)接觸到很多接口。發(fā)送網(wǎng)絡(luò)請(qǐng)求的時(shí)候,有些接口就會(huì)使用 get 方法。最常見的傳參方式就是,直接在 url 地址后面加參數(shù)。
https://www.so.com/s?q='Web前端'直接采用這種方式傳輸數(shù)據(jù),如果數(shù)據(jù)被劫持或抓包工具偷走之后,就會(huì)直接被人盜取走,特別危險(xiǎn)。若是采用接口加密,如下:
// 百度關(guān)鍵字查找示例
// 接口采用 get 方式
https://www.so.com/s?q=get%E4%BC%A0%E5%8F%82%E6%96%B9%E5%BC%8F&src=srp_suggst_revise&fr=se7_newtab_big&psid=014cd859f04a9ba923802a92f6821d44&eci=&nlpv=base_yc_52上邊那個(gè)看不懂的一長串符號(hào),正是經(jīng)過加密的數(shù)據(jù)。
接口加密就是將接口請(qǐng)求調(diào)用中傳遞的參數(shù)進(jìn)行加密,目的就是為了保證接口請(qǐng)求中傳遞參數(shù)和返回的結(jié)果的安全性,一般比較敏感數(shù)據(jù),如身份證、電話號(hào)碼、賬號(hào)、密碼等需要進(jìn)行加密。
常見的加密方式:
加密方式較多,可以根據(jù)自己具體的需要和項(xiàng)目語言選擇其中一種。
加密之后的數(shù)據(jù)更安全,那我們能不能將接口所有的數(shù)據(jù)都進(jìn)行加密呢?加密是非常消耗資源的,如果有大批量的數(shù)據(jù)都進(jìn)行加密時(shí),返回?cái)?shù)據(jù)需要的時(shí)間就更長,會(huì)直接影響用戶體驗(yàn)。所以我們進(jìn)行加密時(shí),只需要對(duì)敏感的重要的信息進(jìn)行加密。
好了小編今天的文章就到此結(jié)束了,本篇文章沒有介紹到的 web 安全,歡迎評(píng)論區(qū)交流!
用戶在 HTML 表單中填寫并提交數(shù)據(jù)時(shí),可以使用 PHP 來接收并處理這些數(shù)據(jù)。要實(shí)現(xiàn)這一點(diǎn),需要?jiǎng)?chuàng)建一個(gè) PHP 腳本來處理提交的數(shù)據(jù),然后將 HTML 表單的 "action" 屬性設(shè)置為該腳本的文件路徑。表單提交的數(shù)據(jù)需要進(jìn)行驗(yàn)證和過濾,以確保數(shù)據(jù)的完整性和安全性。可以使用條件語句、正則表達(dá)式、過濾器函數(shù)等方法來驗(yàn)證和過濾數(shù)據(jù),并使用 htmlspecialchars() 函數(shù)轉(zhuǎn)義 HTML 標(biāo)記,以防止 XSS 攻擊。
以下是一個(gè)簡單的示例:
HTML 表單代碼:
<form action="submit.php" method="post">
<label for="name">Name:</label>
<input type="text" id="name" name="name">
<label for="email">Email:</label>
<input type="email" id="email" name="email">
<button type="submit">Submit</button>
</form>
PHP 代碼(submit.php):
<?php
// 獲取表單提交的數(shù)據(jù)
$name=$_POST['name'];
$email=$_POST['email'];
// 在這里進(jìn)行處理,例如將數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫中
// ...
// 返回一個(gè)響應(yīng),告訴用戶數(shù)據(jù)已經(jīng)被成功提交
echo "Thank you for submitting the form, $name!";
?>
在上面的示例中,表單的 "action" 屬性設(shè)置為 "submit.php",這意味著提交表單時(shí),數(shù)據(jù)將被發(fā)送到 submit.php 文件中的 PHP 代碼中進(jìn)行處理。PHP 代碼使用 $_POST 數(shù)組來獲取表單提交的數(shù)據(jù),然后進(jìn)行處理,例如將數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫中。最后,PHP 代碼返回一個(gè)響應(yīng),告訴用戶數(shù)據(jù)已經(jīng)被成功提交。在處理表單數(shù)據(jù)時(shí),一定要對(duì)用戶輸入進(jìn)行驗(yàn)證和過濾,以防止安全漏洞。
需要對(duì)表單提交的數(shù)據(jù)進(jìn)行驗(yàn)證和過濾,以確保數(shù)據(jù)的完整性和安全性。以下是一些常見的方法:
1、驗(yàn)證表單字段:在 PHP 代碼中使用條件語句和正則表達(dá)式等方法來驗(yàn)證表單字段的有效性,例如驗(yàn)證電子郵件地址的格式是否正確。
$email=$_POST['email'];
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
// 如果郵件地址格式不正確,則顯示錯(cuò)誤消息
echo "Invalid email address";
}
2、過濾輸入數(shù)據(jù):使用 PHP 中的過濾器函數(shù)來過濾表單輸入數(shù)據(jù),以防止 XSS 攻擊和 SQL 注入等安全漏洞。
$name=$_POST['name'];
$name=filter_var($name, FILTER_SANITIZE_STRING); // 過濾特殊字符和標(biāo)簽
3、防止跨站腳本攻擊(XSS):在 PHP 代碼中使用 htmlspecialchars() 函數(shù)來轉(zhuǎn)義 HTML 標(biāo)記,防止惡意腳本注入到頁面中。
$name=$_POST['name'];
$name=htmlspecialchars($name, ENT_QUOTES, 'UTF-8'); // 轉(zhuǎn)義 HTML 標(biāo)記
4、防止 SQL 注入攻擊:在 PHP 代碼中使用參數(shù)化查詢或準(zhǔn)備語句來執(zhí)行數(shù)據(jù)庫操作,以防止惡意 SQL 語句注入到數(shù)據(jù)庫中。
$stmt=$pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':email', $email);
$stmt->execute();
通過這些方法,可以確保表單提交的數(shù)據(jù)是安全和有效的,并且能夠正常地處理和存儲(chǔ)到數(shù)據(jù)庫中。
*請(qǐng)認(rèn)真填寫需求信息,我們會(huì)在24小時(shí)內(nèi)與您取得聯(lián)系。
