這是預防XSS攻擊竊取用戶cookie 最有效的防御手段�。Web應用程序 在設置cookie時���,將其屬性設為�,就可以避免該網頁的cookie被客戶端惡意竊取����,保護用戶cookie信息�。
二����、CSRF
CSRF(Cross Site Request Forgery),即跨站請求偽造,是一種常見的Web攻擊���,它利用用戶已登錄的身份,在用戶毫不知情的情況下,以用戶的名義完成非法操作�。
1.CSRF攻擊的原理
下面先介紹一下CSRF攻擊的原理:
完成 CSRF 攻擊必須要有三個條件:
我們來看一個例子: 當我們登入轉賬頁面后���,突然眼前一亮驚現"XXX隱私照片���,不看后悔一輩子"的鏈接����,耐不住內心躁動����,立馬點擊了該危險的網站(頁面代碼如下圖所示)���,但當這頁面一加載�,便會執行這個方法來提交轉賬請求���,從而將10塊轉給黑客�。
2.如何防御
防范 CSRF 攻擊可以遵循以下幾種規則:
1)
可以對 Cookie 設置 屬性。該屬性表示 Cookie 不隨著跨域請求發送����,可以很大程度減少 CSRF 的攻擊,但是該屬性目前并不是所有瀏覽器都兼容。
2) Referer Check
HTTP Referer是header的一部分����,當瀏覽器向web服務器發送請求時�,一般會帶上Referer信息告訴服務器是從哪個頁面鏈接過來的���,服務器籍此可以獲得一些信息用于處理���?��?梢酝ㄟ^檢查請求的來源來防御CSRF攻擊�。正常請求的referer 具有一定規律,如在提交表單的referer必定是在該頁面發起的請求�。所以通過檢查http包頭referer的值是不是這個頁面�,來判斷是不是CSRF攻擊����。
但在某些情況下如從https跳轉到http,瀏覽器處于安全考慮,不會發送referer���,服務器就無法進行check了。若與該網站同域的其他網站有XSS漏洞,那么攻擊者可以在其他網站注入惡意腳本�,受害者進入了此類同域的網址���,也會遭受攻擊���。出于以上原因�,無法完全依賴Referer Check作為防御CSRF的主要手段�。但是可以通過Referer Check來監控CSRF攻擊的發生。
3) Anti CSRF Token
目前比較完善的解決方案是加入Anti-CSRF-Token。即發送請求時在HTTP 請求中以參數的形式加入一個隨機產生的token,并在服務器建立一個攔截器來驗證這個token���。服務器讀取瀏覽器當前域cookie中這個token值,會進行校驗該請求當中的token和cookie當中的token值是否都存在且相等,才認為這是合法的請求�。否則認為這次請求是違法的�,拒絕該次服務�。
這種方法相比Referer檢查要安全很多���,token可以在用戶登陸后產生并放于session或cookie中���,然后在每次請求時服務器把token從session或cookie中拿出����,與本次請求中的token 進行比對。由于token的存在���,攻擊者無法再構造出一個完整的URL實施CSRF攻擊。但在處理多個頁面共存問題時���,當某個頁面消耗掉token后,其他頁面的表單保存的還是被消耗掉的那個token���,其他頁面的表單提交時會出現token錯誤。
4) 驗證碼
應用程序和用戶進行交互過程中����,特別是賬戶交易這種核心步驟���,強制用戶輸入驗證碼����,才能完成最終請求�。在通常情況下,驗證碼夠很好地遏制CSRF攻擊���。但增加驗證碼降低了用戶的體驗����,網站不能給所有的操作都加上驗證碼�。所以只能將驗證碼作為一種輔助手段�,在關鍵業務點設置驗證碼。
三�、點擊劫持
點擊劫持是一種視覺欺騙的攻擊手段���。攻擊者將需要攻擊的網站通過 iframe 嵌套的方式嵌入自己的網頁中���,并將 iframe 設置為透明���,在頁面中透出一個按鈕誘導用戶點擊����。
1. 特點2. 點擊劫持的原理
用戶在登陸 A 網站的系統后���,被攻擊者誘惑打開第三方網站���,而第三方網站通過 iframe 引入了 A 網站的頁面內容����,用戶在第三方網站中點擊某個按鈕(被裝飾的按鈕),實際上是點擊了 A 網站的按鈕�。
接下來我們舉個例子:我在優酷發布了很多視頻�,想讓更多的人關注它���,就可以通過點擊劫持來實現
1 iframe?{ 2 width:?1440px; 3 height:?900px; 4 position:?absolute; 5 top:?-0px; 6 left:?-0px; 7 z-index:?2; 8 -moz-opacity:?0; 9 opacity:?0; 10 filter:?alpha(opacity=0); 11 }12 button?{13 position:?absolute; 14 top:?270px; 15 left:?1150px; 16 z-index:?1; 17 width:?90px; 18 height:40px; 19 }20 21 ......22 點擊脫衣 23 "http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg">24 <iframe?src=?scrolling="no" ></iframe>
從上圖可知�,攻擊者通過圖片作為頁面背景,隱藏了用戶操作的真實界面���,當你按耐不住好奇點擊按鈕以后,真正的點擊的其實是隱藏的那個頁面的訂閱按鈕�,然后就會在你不知情的情況下訂閱了���。
3. 如何防御1)X-FRAME-OPTIONS
X-FRAME-OPTIONS是一個 HTTP 響應頭,在現代瀏覽器有一個很好的支持。這個 HTTP 響應頭 就是為了防御用 iframe 嵌套的點擊劫持攻擊�。
該響應頭有三個值可選����,分別是
2) 防御
對于某些遠古瀏覽器來說�,并不能支持上面的這種方式,那我們只有通過 JS 的方式來防御點擊劫持了。
1 <head > 2 ??<style ?id ="click-jack" > 3 ????html ?{ 4 ??????display :?none?!important ; 5 ????} 6 ??style > 7 head > 8 <body > 9 ??<script > 10 ????if ?(self?==?top)?{11 ??????var ?style?=?document .getElementById('click-jack' )12 ??????document .body.removeChild(style)13 ????}?else ?{14 ??????top.location?=?self.location15 ????}16 ??script >17 body >以上代碼的作用就是當通過 iframe 的方式加載頁面時���,攻擊者的網頁直接不顯示所有內容了。
四���、URL跳轉漏洞
定義:借助未驗證的URL跳轉,將應用程序引導到不安全的第三方區域,從而導致的安全問題。
1.URL跳轉漏洞原理
黑客利用URL跳轉漏洞來誘導安全意識低的用戶點擊�,導致用戶信息泄露或者資金的流失����。其原理是黑客構建惡意鏈接(鏈接需要進行偽裝,盡可能迷惑),發在QQ群或者是瀏覽量多的貼吧/論壇中���。
安全意識低的用戶點擊后,經過服務器或者瀏覽器解析后���,跳到惡意的網站中����。
惡意鏈接需要進行偽裝,經常的做法是熟悉的鏈接后面加上一個惡意的網址,這樣才迷惑用戶。
諸如偽裝成像如下的網址�,你是否能夠識別出來是惡意網址呢���?
1 http: //gate.baidu.com/index ?act=go&url=http: //t.cn/ RVTatrd2 http: //qt.qq.com/safecheck .html?flag=1 &url=http: //t.cn/ RVTatrd3 http: //tieba.baidu.com/f /user/passport ?jumpUrl=http: //t.cn/ RVTatrd2.實現方式:
這里我們舉個Header頭跳轉實現方式:
1 2 $url=$_GET['jumpto' ];3 header("Location:?$url" );4 ?>
1 http:// www.wooyun.org/login.php?jumpto=http:/ /www.evil.com這里用戶會認為都是可信的���,但是點擊上述鏈接將導致用戶最終訪問這個惡意網址����。
3.如何防御1)referer的限制
如果確定傳遞URL參數進入的來源���,我們可以通過該方式實現安全限制���,保證該URL的有效性�,避免惡意用戶自己生成跳轉鏈接
2)加入有效性驗證Token
我們保證所有生成的鏈接都是來自于我們可信域的,通過在生成的鏈接里加入用戶不可控的Token對生成的鏈接進行校驗,可以避免用戶生成自己的惡意鏈接從而被利用���,但是如果功能本身要求比較開放,可能導致有一定的限制。
五�、SQL注入
SQL注入是一種常見的Web安全漏洞�,攻擊者利用這個漏洞���,可以訪問或修改數據����,或者利用潛在的數據庫漏洞進行攻擊。
1.SQL注入的原理
我們先舉一個萬能鑰匙的例子來說明其原理:
1 <form ?action ="/login" ?method ="POST" > 2 ????<p > Username:?<input ?type ="text" ?name ="username" ?/> p >3 ????<p > Password:?<input ?type ="password" ?name ="password" ?/> p >4 ????<p > <input ?type ="submit" ?value ="登陸" ?/> p >5 form >后端的 SQL 語句可能是如下這樣的:
1 let?querySQL?=?`2 ????SELECT ?*3 ????FROM ?user 4 ????WHERE ?username='${username}' 5 ????AND ?psw='${password}' 6 `;7 //?接下來就是執行?sql?語句...8
這是我們經常見到的登錄頁面,但如果有一個惡意攻擊者輸入的用戶名是admin' --,密碼隨意輸入,就可以直接登入系統了����。why! ----這就是SQL注入
我們之前預想的SQL 語句是:
1 SELECT ?*?FROM ?user ?WHERE ?username='admin' ?AND ?psw='password' 但是惡意攻擊者用奇怪用戶名將你的 SQL 語句變成了如下形式:
1 SELECT ?*?FROM ?user ?WHERE ?username='admin' ?--'?AND?psw='xxxx' 在 SQL 中,' --是閉合和注釋的意思�,-- 是注釋后面的內容的意思����,所以查詢語句就變成了:
1 SELECT ?*?FROM ?user ?WHERE ?username='admin' 所謂的萬能密碼,本質上就是SQL注入的一種利用方式。
一次SQL注入的過程包括以下幾個過程:
SQL注入的必備條件: 1.可以控制輸入的數據 2.服務器要執行的代碼拼接了控制的數據。
我們會發現SQL注入流程中與正常請求服務器類似���,只是黑客控制了數據,構造了SQL查詢���,而正常的請求不會SQL查詢這一步,SQL注入的本質:數據和代碼未分離����,即數據當做了代碼來執行���。
2.危害3.如何防御六、OS命令注入攻擊
OS命令注入和SQL注入差不多�,只不過SQL注入是針對數據庫的���,而OS命令注入是針對操作系統的�。OS命令注入攻擊指通過Web應用����,執行非法的操作系統命令達到攻擊的目的。只要在能調用Shell函數的地方就有存在被攻擊的風險�。倘若調用Shell時存在疏漏���,就可以執行插入的非法命令�。
命令注入攻擊可以向Shell發送命令�,讓Windows或Linux操作系統的命令行啟動程序。也就是說�,通過命令注入攻擊可執行操作系統上安裝著的各種程序����。
1.原理
黑客構造命令提交給web應用程序���,web應用程序提取黑客構造的命令���,拼接到被執行的命令中�,因黑客注入的命令打破了原有命令結構,導致web應用執行了額外的命令����,最后web應用程序將執行的結果輸出到響應頁面中���。
我們通過一個例子來說明其原理����,假如需要實現一個需求:用戶提交一些內容到服務器�,然后在服務器執行一些系統命令去返回一個結果給用戶
1 //?以?Node.js?為例���,假如在接口中需要從?github?下載用戶指定的?repo 2 const ?exec?=?require ('mz/child_process' ).exec;3 let ?params?=?{/*?用戶輸入的參數?*/ };4 exec(`git?clone?${params.repo} ?/some/path` );params.repo傳入的是確實能從指定的 git repo 上下載到想要的代碼����。
但是如果params.repo傳入的是 && rm -rf /* &&恰好你的服務是用 root 權限起的就糟糕了。
2.如何防御參考資料
●
●
●
●
—完—
勿瀏覽不良網站!手機出現這幾種異?���,F象���,可能已中毒
在使用手機瀏覽網頁時���,有些人可能會帶著一顆好奇的心訪問一些不良網站���。
要知道����,黑客可能通過非法手段入侵不良網站,并在其中植入各種網絡威脅���。
如果你正在訪問這類網站,不僅影響你的身心健康�,還會讓你的手機和個人隱私數據面臨安全風險���。
若手機出現以下幾種異常情況�,一定要注意了�,可能你已經被不良網站“盯上”了。請盡早停手���,以免造成更大損失。
不小心訪問了這類網站后���,發現手機在打開應用時開始變卡���,滑動屏幕也出現延遲���?���?赡鼙粣阂獯a“劫持”了。
不良網站暗藏了木馬病毒或者廣告插件,這些惡意程序會占用手機后臺資源,直接導致系統性能下降�,手機變得像“老爺機”一樣�。
再一個�,廣告彈窗不斷,關都關不掉。
正常的廣告都是在應用里出現���,用戶可以選擇性地點擊或關閉。
而當廣告頻繁彈出,還會在你沒打開任何應用的時候突然“從天而降”,這就是所謂的“病毒式廣告”���,多半來自不良網站,它會劫持瀏覽器或桌面,強行增加曝光率���。
不僅擾人,還會誤導你去點擊帶有惡意內容的鏈接,千萬別隨意點擊!以免落入網絡釣魚陷阱����。目的是竊取你的個人信息�,如用戶名���、密碼�、銀行賬戶信息等,進而導致身份被盜用或錢財損失。
然后是手機自動下載了一些奇怪的軟件���。
手機桌面上多了幾個從未下載過的APP,而且這些應用往往都不是正規商店的,十有八九是惡意程序�。不良網站會在用戶不知情的情況下�,通過跳轉頁面的方式自動下載一些軟件���。
并且���,這些程序還會在后臺運行����,消耗流量�、竊取隱私,盜取支付信息���。
可千萬別使用這些來路不明的軟件!
手機突然發燙���,是因為后臺程序在瘋狂運轉。然而����,在你沒有運行任何大型應用����,手機依然發熱、耗電飛速���,這就要警惕了。
不良網站會在你的設備上植入挖礦程序���,利用你的手機資源挖取虛擬貨幣。換句話說,手機在你不知情的情況下“打工”���,怪不得電量飛速下降。
開始收到莫名其妙的短信,還經常被陌生電話“轟炸”����,這很可能就是瀏覽過不良網站帶來的“后遺癥”�。
惡意網站在后臺收集了你的信息���,并將數據賣給第三方公司�,讓你的隱私被肆意傳播����!
這些信息通常以“緊急通知”或“優惠活動”等字眼吸引你點擊,實際上卻是另一個釣魚陷阱�。
上網沖浪時�,安全問題始終是我們最關心的���。
瀏覽網站時���,應避開不良網站���,以免掉入以上的這些陷阱�。
如果不幸中招,建議盡快使用系統自帶的安全軟件進行一次全面的病毒掃描�,及時清理掉有潛在威脅的軟件����,恢復手機流暢度����,必要時還可以考慮備份數據后恢復出廠設置!
“
我就知道你在看���!
