标签:ace for http 否则 情况 server 失效 rdp 安全措施
关注公众号: 微信搜索 web全栈进阶 ; 收货更多的干货
摘抄自(本人博客)https://laijinxian.github.io/2019/03/04/Web-应用常见安全漏洞详解/#
作为Web端开发,不了解些攻击及漏洞有点说不过去,今天就来总结下常见的漏洞
SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。当使用外部不可信任的数据作为参数进行数据库的增、删、改、查时,如果未对外部数据进行过滤,就会产生 SQL 注入漏洞。
比如:
name = "外部输入名称"
sql = "select * from users where name="+ name;
上面的 SQL 语句目的是通过用户输入的用户名查找用户信息,因为由于 SQL 语句是直接拼接的,也没有进行过滤
所以,当用户输入‘‘or‘1‘=‘1‘时,这个语句的功能就是搜索users全表的记录。
select* from users where name=‘‘or‘1‘=‘1‘;
不信任任何外部输入。增、删、改、查。SQL 注入漏洞。《Web 安全漏洞之 SQL 注入 - 防御方法》(https://juejin.im/post/5bd5b820e51d456f72531fa8#heading-2) 了解具体的解决方案。
XSS攻击全称跨站脚本攻击(Cross-Site Scripting),简单的说就是攻击者通过在目标网站上注入恶意脚本并运行,获取用户的敏感信息如Cookie、SessionID等
简单来说就是攻击者通过某种方式向浏览器页面注入了恶意代码,并且浏览器执行了这些代码;影响网站与用户数据安全。
这类攻击通常包含了HTML以及用户端脚本语言XSS 攻击更偏向前端的范畴,但后端在保存数据的时候也需要对数据进行安全过滤。
XSS一般是指恶意代码注入后保存在后端数据库内,浏览器渲染时如果没有进行过滤和转义,则会执行其中的恶意代码,例如某个网站的用户个性签名,如果某个用户在个性签名内填入,<script>alert(document.cookie)</script>
如果后端或者前端没有对此数据进行过滤转义处理,则会出现每个人访问该用户主页都会弹出他们浏览器的cookie,如果把这段代码换成将cookie值发送到攻击者的第三方服务器上,攻击者就可以轻易获得用户的敏感信息。
XSS一般是指服务端返回恶意脚本,在客户端触发执行的攻击http://xxx.com/index.php?s=<script>alert(document.cookie)</script>
服务器上并没有这样的内容,攻击者构造恶意URL,欺骗用户点击,触发XSS攻击。
DOM型的XSS一般是指代码部分本身有漏洞存在,例如在开发者在JS部分使用了location来调用URL上的数据处理部分逻辑,引发了反射型的URL恶意构造的隐患。在一个文章应用中(如微信文章),攻击者在文章编辑后台通过注入script标签及js代码,后端未加过滤就保存到数据库,
前端渲染文章详情的时候也未加过滤,这就会让这段js代码执行,引起 XSS 攻击。
HTML 片段时,任何数据都不可信任,都要先做 HTML 过滤,然后再渲染。《前端安全系列(一):如何防止XSS攻击? - 攻击的预防》(https://segmentfault.com/a/1190000016551188#articleHeader7) 了解具体的解决方案。Httpseval();cookie可以设置httpOnlyHtml5 iframe标签的安全新特性,sandbox属性《前端安全系列(一):如何防止XSS攻击?》:https://segmentfault.com/a/1190000016551188《前端防御 XSS》:https://juejin.im/entry/56da82a87664bf0052ebad41《浅说 XSS 和 CSRF》:https://juejin.im/entry/5b4b56fd5188251b1a7b2ac1跨站请求伪造(英语:
Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF
Web应用程序上执行非本意的操作的攻击方法。XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。1.用户A登陆某一网站(例如豆瓣),登陆成功后该用户浏览器客户端存留
Cookie记录.
2.该网站有条删除用户日记的接口地址:http://www.douban.com/del/article/1
3.攻击者利用各种手段(微信发短网址链接等等)引诱用户A进入恶意网址。 恶意网址的Html内容如下:。
<img src="http:www.douban.com/del/article/1"/>
用户A在毫不知情的情况下请求了http:www.douban.com/del/article/1这个接口,由于他不久前登陆过豆瓣,客户端存留登陆成功的Cookie,就这样莫名的删除了自己的一篇日记,CSRF利用的就是这点,浏览器只能识别是否是该用户访问,却不能识别是否是该用户 本人意愿访问。
1.后端处理 (REFERER) (基本的思路是能正确识别是否是用户发起的请求)
客户端向服务器发送请求时,Http请求头内存在一个Referer属性,属性值就是发起该次请求的域名。
后端在代码里关键操作部分进行判断,如果Referer的值等于已知的域名(自家域名)则放行继续操作,否则打回。
这种办法有局限性,因为不同浏览器对Referer这个实现可能会有差异,也不排除有攻击者直接攻击浏览器篡改Referer的可能。
2.前后端配合处理(Token)
后端在用户登陆成功时分配给该用户一个随机生成的Token值,存在session内,同时把这个Token值返回给前端,- - 前端可以把这个值存到cookie内或者其他本地存储,
每次向服务器发起请求时把Token值作为参数一起传给后端,后端判断传过来的token是否和session中的token一致,一致则放行,否则打回。
由于CSRF攻击者只能伪造用户的Cookie来骗过浏览器,但是他并不能得到Cookie中的具体值(例如Token值),
所以这样的恶意请求会被后端打回,有效的防止了CSRF攻击。
《前端安全系列之二:如何防止CSRF攻击?》:https://segmentfault.com/a/1190000016659945《Web安全漏洞之CSRF》:https://juejin.im/post/5ba1a800e51d450e8657f5dd《浅说 XSS 和 CSRF》:https://juejin.im/entry/5b4b56fd5188251b1a7b2ac1DoS 攻击全称拒绝服务
(Denial of Service),简单的说就是让一个公开网站无法访问,而 DDoS 攻击(分布式拒绝服务Distributed Denial of Service)是DoS的升级版。
这个就完全属于后端的范畴了。
DDoS 攻击的基本思路是限流,限制单个用户的流量(包括 IP 等)。《DDoS的攻击及防御》:https://segmentfault.com/a/1190000016584829《浅谈 DDoS 攻击与防御》:https://juejin.im/entry/5b7a21256fb9a01a031aef67《使用 Nginx、Nginx Plus 抵御 DDOS 攻击》:https://juejin.im/entry/56d824591ea493005db9d284
XXE漏洞全称XML外部实体漏洞(XML External Entity),当应用程序解析XML输入时,如果没有禁止外部实体的加载,导致可加载恶意外部文件和代码,就会造成任意文件读取、命令执行、内网端口扫描、攻击内网网站等攻击。
这个只在能够接收 XML 格式参数的接口才会出现。
参考《xxe漏洞的学习与利用总结》(https://www.cnblogs.com/r00tuser/p/7255939.html) 了解具体的解决方案。《好刚:6分钟视频看懂XXE漏洞攻击》:https://juejin.im/entry/5b719fdc6fb9a009a0607aaa《xxe漏洞的学习与利用总结》:https://www.cnblogs.com/r00tuser/p/7255939.html《XXE漏洞攻防学习(上)》:https://www.cnblogs.com/ESHLkangi/p/9245404.html
JSON劫持(JSON Hijacking)是用于获取敏感数据的一种攻击方式,属于CSRF攻击的范畴。
Web 应用会把一些敏感数据以 json 的形式返回到前端,如果仅仅通过 Cookie 来判断请求是否合法CSRF 的手段,向目标服务器发送请求,以获得敏感数据。json 格式的用户信息:http://www.test.com/userinfo
攻击者可以在自己的虚假页面中,加入如下标签:
<script src = "http://www.test.com/userinfo"></script>
如果当前浏览器已经登录了www.test.com,并且 Cookie 未过期,然后访问了攻击者的虚假页面,那么该页面就可以拿到 json 形式的用户敏感信息,因为script标签会自动解析 json 数据,生成对应的 js 对象。然后再通过:
Object.prototype.__defineSetter__
这个函数来触发自己的恶意代码。
但是这个函数在当前的新版本 Chrome 和 Firefox 中都已经失效了。
注:上面的过程摘自《JSON和JSONP劫持以及解决方法》(https://blog.csdn.net/yjclsx/article/details/80353754)
X-Requested-With 标识JSON 数据识别Javascript 执行 JSON 数据《JSON和JSONP劫持以及解决方法》:https://blog.csdn.net/yjclsx/article/details/80353754《JSONP 安全攻防技术:JSON劫持、 XSS漏洞》:https://www.cnblogs.com/52php/p/5677775.html这个一般针对密码而言,弱密码(
Weak Password)很容易被别人(对你很了解的人等)猜到或被破解工具暴力破解。
HTTP/1.1(RFC2616)规范定义了 HTTP TRACE 方法,主要是用于客户端通过向 Web 服务器提交 TRACE 请求来进行测试或获得诊断信息。
当 Web 服务器启用 TRACE 时,提交的请求头会在服务器响应的内容(Body)中完整的返回,其中 HTTP 头很可能包括 Session Token、Cookies 或其它认证信息。攻击者可以利用此漏洞来欺骗合法用户并得到他们的私人信息。
禁用 HTTP TRACE 方法。
由于
Web服务器或应用程序没有正确处理一些特殊请求,泄露Web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。
攻击者向
Web服务器发送请求,通过在URL中或在有特殊意义的目录中附加../、或者附加../的一些变形(如..或..//甚至其编码),导致攻击者能够访问未授权的目录,以及在 Web 服务器的根目录以外执行命令。
命令执行漏洞是通过
URL发起请求,在Web服务器端执行未授权的命令,获取系统信息、篡改系统配置、控制整个系统、使系统瘫痪等。
如果对文件上传路径变量过滤不严,并且对用户上传的文件后缀以及文件类型限制不严,攻击者可通过
Web访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。
在开发网站及应用程序过程中,需严格限制和校验上传的文件,禁止上传恶意代码的文件
限制相关目录的执行权限,防范webshell攻击
SSLStrip 攻击OpenSSL Heartbleed 安全漏洞CCS 注入漏洞一般业务漏洞是跟具体的应用程序相关,比如参数篡改(连续编号 ID / 订单、1 元支付)、重放攻击(伪装支付)、权限控制(越权操作)等。
另外可以参考:6种常见web漏洞坑(https://blog.csdn.net/xueshao110/article/details/78912988)。
WordPress 4.7 / 4.7.1:REST API 内容注入漏洞Drupal Module RESTWS 7.x:Remote PHP Code ExecutionSugarCRM 6.5.23:REST PHP Object Injection ExploitApache Struts:REST Plugin With Dynamic Method Invocation Remote Code ExecutionOracle GlassFish Server:REST CSRFQQ Browser 9.6:API 权限控制问题导致泄露隐私模式Hacking Docker:Registry API 未授权访问参考链接
标签:ace for http 否则 情况 server 失效 rdp 安全措施
原文地址:https://www.cnblogs.com/ljx20180807/p/14088599.html
