【笔记】网易微专业-Web安全工程师-02.WEB安全基础

课程概述：

万丈高楼平地起，楼能盖多高，主要看地基打的好很差。学习任何知识都是同样的，打好基础是关键，经过本课的学习，你将了解一些常见的Web漏洞，以及这些漏洞的原理和危害，打好地基，为后面建设高楼大厦作好准备。

课程大纲：

第一章.无处不在的安全问题 

    第一节.常见的安全事件

第二章.常见Web漏洞解析

    第一节.XSS

    第二节.CSRF

    第三节.点击劫持

    第四节.URL跳转

    第五节.SQL注入

    第六节.命令注入

    第七节.文件操做漏洞

笔记心得：

1. 无处不在的安全问题

“钓鱼”：利用各类手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡帐号、密码等私人资料。

“篡改”网页：谷歌搜索intitle:hacked by能够搜索出曾经被黑过的网站，搜索引擎语法还有：Intext/Site等

“暗链”：一种是你主动隐藏于别人网站的连接，或许你是作网站的，或许你曾经拥有某个网站的后台，可以添加上去（提升SEO）；还有一种状况是别人盗取你的模版，可是上面存在不少你的绝对地址，这样就致使了暗链。

“webshell”：以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也能够将其称作为一种网页后门。黑客在入侵了一个网站后，一般会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一块儿，而后就可使用浏览器来访问asp或者php后门，获得一个命令执行环境，以达到控制网站服务器的目的。webshell能够穿越服务器防火墙，因为与被控制的服务器或远程过80端口传递的，所以不会被防火墙拦截。而且使用webshell通常不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。

2. 常见web漏洞解析

这里只要简要介绍一些这些概念，具体的原理，案例，防护手段，会在后续中详细说明。

2.1 XSS

Cross Site Script：跨站脚本攻击

攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie、破坏页面结构、重定向到其它网站等。理论上，全部可输入的地方没有对输入数据进行处理的话，都会存在XSS漏洞。

	存储型	反射型	DOM型
触发过程	1. 构造XSS（攻击者）2. 访问（用户）	访问携带XSS的连接	访问URL
数据存储	数据库	URL	URL
谁来输出	后端WEB	后端WEB	前段JS
输出位置	HTTP响应	HTTP响应	动态构造的DOM节点

存储型：持久化，代码是存储在服务器中的，例如黑客提交了一篇带恶意脚本的博客，过滤不严时被存储在服务器中，当其它用户访问时，就会触发脚本，执行恶意操做。受害者较广。

反射型：非持久化，须要欺骗用户本身去点击连接才能触发XSS代码，例如对于网站W的用户U，不当心点击了一个连接，暗中将他的cookie发送到由攻击者构建的网站。受害者为少数用户；

DOM型：取决于输出位置，并不取决于输出环境，DOM XSS 是因为浏览器解析机制致使的漏洞，服务器不参与，而存储型与反射型都须要服务器响应参与。

2.2 CSRF

Cross Site Request Forgery 跨站请求伪造

假装来自受信任用户的请求来利用受信任的网站，或者说利用用户已登陆的身份（cookie），假装成用户操做。

举个例子：用户A正在XX银行的网站上进行操做，忽然收到一个诱惑的图片连接，A随手一点，果真看到某日本女星的诱惑写真，但是过了一下子收到短信提醒，已经转出1000元至B帐户，这当中发生了什么？可能的方法是：B构建了一个长宽都为0的页面，并设置隐藏，当A点击图片连接时，图片加载时触发了表单提交操做（转帐1000元），因为当前cookie还生效，所以提交成功。

2.3 点击劫持

一种视觉上的欺骗手段。大概有两种方式，一是攻击者使用一个透明的iframe，覆盖在一个网页上，而后诱使用户在该页面上进行操做，此时用户将在不知情的状况下点击透明的iframe页面；二是攻击者使用一张图片覆盖在网页，遮挡网页原有位置的含义；

tip：不少通关小游戏就是利用这些方法，让用户在玩游戏的过程当中，诱导用户点击某个区域，提交信息。

2.4 URL跳转漏洞

利用用户信任的网站，跳转到恶意的网站。

例如，在一个看起来很常见的网址连接后加上恶意连接

http://mail.qq.com/......&url=http://black.com

如今不少恶意连接能够进一步假装成短连接的形式t.cn/black，更具迷惑性。

查看网页源代码，找出跳转连接 url.php?url=......

几种跳转方式：

Header头：header("location: ".$target);

JS：<script>window.location.href=\"$target\"</script>

META标签：http-equiv="Refresh" content="5"; url=...

2.5 SQL注入

本质：数据和代码未分离，即数据当作代码来执行

怎么理解呢？举个例子，当咱们忘记一个网站的密码时，不妨试试万能密码admin'--，也许就能不用密码而登陆，这是为何？这是由于服务器可能在验证用户时执行了如下语句：

select * from users where user_name = '\$NAME' and password = '\$PWD';

这就变成了：

select * from users where user_name = 'admin'-- and password = '\$PWD';

SQL注入有两个条件：一是能够控制输入的数据；二是服务器拼接SQL执行；

2.6 命令注入

windows的DOS和linux的Bash有不少系统命令能够利用

如：ipconifg/net user/dir/find等

执行过程：

a. web调用可执行系统命令的函数，如PHP中的system/exec/eval等；

b. 函数或函数的参数可控；

c. 拼接注入命令；

举个例子：经常使用的输入网址查看ip的网页，若是输入www.baidu.com && net user，则因为&&的做用，就有可能返回系统用户信息；

2.7 文件漏洞

不少网站提供用户上传头像，附件等文件，也提供下载app或exe等操做，攻击者可利用这些操做实现上传webshell和木马等，或者下载web上的任意文件和代码等；

文件上传：上传php文件，在浏览器地址栏里输入执行；

文件下载：解析下载请求地址，修改并执行；

文件包含：在经过PHP的函数引入文件时，因为传入的文件名没有通过合理的校验，从而操做了预想以外的文件，就可能致使意外的文件泄露甚至恶意的代码注入。利用include/require/fopen/allow_url_include等操做。