web网络安全

web网络安全

常见的几种网路安全问题与攻击

XSS CSRF SQL注入 命令行注入 DDos攻击 流量劫持

XSS

XSS称为跨站脚本攻击，原理就是攻击者往web页面中恶意插入可执行网页脚本代码，用户在浏览该页的时候，嵌入在网页中的脚本会执行，从而达到获取用户信息或者其余侵犯用户安全隐私的目的。同时XSS又分为三类：非持久型XSS（反射型）漏洞，持久型XSS（存储型）漏洞，基于字符集的XSS，基于Flash的跨站XSS，未经验证的跳转XSS

非持久型XSS（反射型）漏洞：

攻击者经过给别人发送带有恶意脚本代码参数的URL，当URL地址被打开时，特有的恶意代码参数被HTML解析、执行，从而达到攻击目的（获取用户信息，侵犯隐私）

• 特色：
  1.必需要经过诱骗点击
  2.即时性，不通过服务器存储，直接经过HTTP的GET和POST请求就能完成一次攻击
• 解决方法：
  1.Web页面渲染全部内容或渲染的数据必须来源于服务器
  2.不要从 URL,document.referrer，document.forms 等这种 DOM API 中获取数据直接渲染
  3.尽可能不要使用 eval, new Function()，document.write()，document.writeln()，window.setInterval()window.setTimeout()，innerHTML，document.creteElement() 等可执行字符串的方法
  4.须要对DOM渲染方法传入的字符串参数作escape转义

持久型XSS（存储型）漏洞：

通常存在与form提交表单之中，如留言，提交文本。攻击者利用XSS漏洞，将脚本内容通过正常功能提交进入数据库永久保存，当前端得到后端从数据库中读出的注入代码时，将其渲染执行。

• 特色：注入方式不是来源与URL，经过后端从数据库读取数据。不须要诱骗点击，只要求攻击者在提交表单的地方完成注入便可。
• 成功条件：
  （1）POST请求提交表单没有通过转义直接入库
  （2）后端从数据库取出数据没有转义直接输出给前端
  （3）前端拿到后端数据后没有通过转义直接渲染
• 防止方法：
  （1）后端入库前不要相信前端任何数据，统一将全部字符转义
  （2）后端将数据输出给前段时统一进行转义
  （3）前端进行渲染时，将从后端请求过来的数据统一转义处理。

基于字符集的XSS

大部分浏览器都专门针对XSS进行转义处理，但也有不少方式能够绕过转义规则，好比web页面字符集不固定，用户输入非字符集字符，有时会绕过转义过滤规则

• 防止办法：指定 <meta charset="utf-8">，用utf-8，并且标签闭合

基于Flash跨站的XSS

未经验证的跳转XSS

• 发生条件： 有时后端要对用户输入的URL进行一个302跳转，攻击者经过输入一个恶意的跳转地址执行脚本
• 防止方法：
  （1）对待跳转的URL参数作白名单或者某种规则过滤
  （2）后端对敏感信息进行保护，好比用Cookie来验证

CSRF （跨站请求伪造攻击）

CSRF,攻击者盗用你的登陆信息，以你的身份模拟发送各类请求。

• 原理：用户登陆了某网站A，并在本地记录了cookie,在没有退出该网站时（cookie有效的时间内），攻击者发送引诱网站B，B要求访问A，从而达到获取用户隐私。
• 预防方法：
  （1）正确使用get(只用于查看，列举，展现等不须要改变资源属性的时候) post（用于form表单提交，改变一个资源的属性或作一些其余事情，如数据库增删改）和cookie。
  （2）非GET请求中，为每一个用户生产一个cookie token
  （3）POST请求的时候使用验证码
  （4）渲染表单的时候，为每一个表单加一个 csrfToken，而后在后端作 csrfToken验证。

SQL注入

经过此方法来从数据库获取敏感信息，或者利用数据库特性执行添加用户导出文件等一系列恶意操做

• 原理：程序没有有效的转义过滤用户的输入，使得攻击者成功向服务器提交恶意的SQL查询代码，使得程序将攻击者的输入做为查询语句一部分执行
• 预防方法：
  （1）严格限制web应用的数据库操做权限，给此用户提供仅仅可以知足其工做的最低权限
  （2）后端代码检查输入数据是否符合预期，严格限制变量的类型，好比使用正则表达式进行匹配
  （3）对进入数据库的特殊字符（'，"，，<，>，&，*）进行转义处理。
  （4）应用上线前建议使用专业的SQL注入检测

命令行注入

指的是攻击者可以经过 HTTP 请求直接侵入主机，执行攻击者预设的 shell 命令这每每是 Web 开发者最容易忽视可是倒是最危险的一个漏洞之一

DDOS 攻击

分布式拒绝服务，其原理就是利用大量的请求形成资源过载，致使服务不可用

网络层DDos

• SYN Flood :利用TCP三次握手的Bug,TCP三次握手，客户端发生SYN（握手信息），服务段收到SYN，并发出ACK（确认信息）+SYN，客户端收到SYN+ACK，并发出ACK和数据，而SYN Flood攻击，攻击方随意构造客户端IP发送SYN包，服务端收到后作出回应发出SYN+ACK，但因为客户端IP是随意构造的，就不能获得应答，此时服务端就会尝试再次发送，间隔大约30s，致使资源饱和服务不可用，此攻击属于慢型DDos
• ACK Flood: TCP 链接创建以后，全部的数据传输 TCP 报文都是带有 ACK 标志位的，主机在接收到一个带有 ACK 标志位的数据包的时候，须要检查该数据包所表示的链接四元组是否存在，若是存在则检查该数据包所表示的状态是否合法，而后再向应用层传递该数据包。若是在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操做系统协议栈会回应 RST 包告诉对方此端口不存在。
• UDP Flood:UDP是一种无链接协议，所以攻击者能够伪造大量的IP发生UDP包，这种攻击属于大流量攻击，但正常状况下,UDP包双向流量会基本相等，所以发这种攻击的攻击者耗费对方资源的状况下也在消耗本身的资源
• ICMP Flood 攻击：发生大量不正常的ICMP包（内容不少很大），致使目标带宽被占用，但自己资源也会被消耗

解决办法：

（1）进行流量清洗
（2）限制单IP请求频率

应用层DDos

是发生在 TCP 创建握手成功以后，应用程序处理请求的时候，如今不少常见的 DDoS 攻击都是应用层攻击

• CC攻击 ：就是针对消耗资源比较大的页面不断发起不正常的请求，致使资源耗尽，此在发送 CC 攻击前，咱们须要寻找加载比较慢，消耗资源比较多的网页，好比须要查询数据库的页面、读写硬盘文件的等
• DNF Flood:DNS Flood 攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，一般请求解析的域名是随机生成或者是网络世界上根本不存在的域名。解析域名会如今缓存中查询，若是找不到会向上层DNS服务器递归查询。每秒域名解析超过必定数量就会形成DNS解析超时。
• HTTP 慢速链接攻击：先创建HTTP链接，设置一个较大的 Conetnt-Length，每次只发送不多字节，让服务器一直觉得HTTP头部传输没有完成，这样链接一多就出现资源耗尽。

解决方法：

（1）针对IP+cookie,限制访问频率
（2）关闭服务器最大链接数
（3）减小数据库读取操做

其余DDos攻击：

• 利用XSS ：好比在抢票页面中，利用XSS漏洞，执行脚本往某个网站随便发送请求，随着用户量访问增多，被攻击的站点就会迅速瘫痪
• P2P 网络攻击

流量劫持

DNS劫持

DNS是将网络域名对应到真实计算机可以识别的IP地址，以便进一步通讯。DNS劫持就是当用户经过某一个域名访问站点时，被篡改的DNS服务器返回的是一个钓鱼站点的IP，用户就被劫持到钓鱼网站，进而隐私泄露。

HTTP劫持

HTTP劫持，当用户访问某个站点时会通过运营商网络，不法运营商和黑厂勾结可以截获请求返回内容，而且篡改内容，而后再返回给用户，从而实现劫持页面，轻则插入小广告，重则直接串改为钓鱼网站骗用户隐私。

• 解决办法：通讯过程没有对对方身份进行校验以及对数据完整性进行校验，因此防止 HTTP 劫持的方法只有将内容加密，让劫持者没法破解篡改，这样就能够防止 HTTP 劫持了

参考文章：https://juejin.im/entry/5a559...