web常見的攻擊方式有哪些？如何防禦？

一、是什麼

Web攻擊（WebAttack）是針對使用者上網行為或網站伺服器等裝置進行攻擊的行為

如植入惡意程式碼，修改網站許可權，獲取網站使用者隱私資訊等等

Web應用程式的安全性是任何基於Web業務的重要組成部分

確保Web應用程式安全十分重要，即使是程式碼中很小的 bug 也有可能導致隱私資訊被洩露

站點安全就是為保護站點不受未授權的訪問、使用、修改和破壞而採取的行為或實踐

我們常見的Web攻擊方式有

• XSS (Cross Site Scripting) 跨站指令碼攻擊
• CSRF（Cross-site request forgery）跨站請求偽造
• SQL隱碼攻擊

二、XSS

XSS，跨站指令碼攻擊，允許攻擊者將惡意程式碼植入到提供給其它使用者使用的頁面中

XSS涉及到三方，即攻擊者、客戶端與Web應用

XSS的攻擊目標是為了盜取儲存在客戶端的cookie或者其他網站用於識別客戶端身份的敏感資訊。一旦獲取到合法使用者的資訊後，攻擊者甚至可以假冒合法使用者與網站進行互動

舉個例子：

一個搜尋頁面，根據url引數決定關鍵詞的內容

<input type="text" value="<%= getParameter("keyword") %>">
<button>搜尋</button>
<div>
  您搜尋的關鍵詞是：<%= getParameter("keyword") %>
</div>

這裡看似並沒有問題，但是如果不按套路出牌呢？

使用者輸入"><script>alert('XSS');</script>，拼接到 HTML 中返回給瀏覽器。形成了如下的 HTML：

<input type="text" value=""><script>alert('XSS');</script>">
<button>搜尋</button>
<div>
  您搜尋的關鍵詞是："><script>alert('XSS');</script>
</div>

瀏覽器無法分辨出 <script>alert('XSS');</script> 是惡意程式碼，因而將其執行，試想一下，如果是獲取cookie傳送對駭客伺服器呢？

根據攻擊的來源，XSS攻擊可以分成：

• 儲存型
• 反射型
• DOM 型

#儲存型

儲存型 XSS 的攻擊步驟：

1. 攻擊者將惡意程式碼提交到目標網站的資料庫中
2. 使用者開啟目標網站時，網站服務端將惡意程式碼從資料庫取出，拼接在 HTML 中返回給瀏覽器
3. 使用者瀏覽器接收到響應後解析執行，混在其中的惡意程式碼也被執行
4. 惡意程式碼竊取使用者資料併傳送到攻擊者的網站，或者冒充使用者的行為，呼叫目標網站介面執行攻擊者指定的操作

這種攻擊常見於帶有使用者儲存資料的網站功能，如論壇發帖、商品評論、使用者私信等

#反射型 XSS

反射型 XSS 的攻擊步驟：

1. 攻擊者構造出特殊的 URL，其中包含惡意程式碼
2. 使用者開啟帶有惡意程式碼的 URL 時，網站服務端將惡意程式碼從 URL 中取出，拼接在 HTML 中返回給瀏覽器
3. 使用者瀏覽器接收到響應後解析執行，混在其中的惡意程式碼也被執行
4. 惡意程式碼竊取使用者資料併傳送到攻擊者的網站，或者冒充使用者的行為，呼叫目標網站介面執行攻擊者指定的操作

反射型 XSS 跟儲存型 XSS 的區別是：儲存型 XSS 的惡意程式碼存在資料庫裡，反射型 XSS 的惡意程式碼存在 URL 裡。

反射型 XSS 漏洞常見於透過 URL 傳遞引數的功能，如網站搜尋、跳轉等。

由於需要使用者主動開啟惡意的 URL 才能生效，攻擊者往往會結合多種手段誘導使用者點選。

POST 的內容也可以觸發反射型 XSS，只不過其觸發條件比較苛刻（需要構造表單提交頁面，並引導使用者點選），所以非常少見

DOM 型 XSS

DOM 型 XSS 的攻擊步驟：

1. 攻擊者構造出特殊的 URL，其中包含惡意程式碼
2. 使用者開啟帶有惡意程式碼的 URL
3. 使用者瀏覽器接收到響應後解析執行，前端 JavaScript 取出 URL 中的惡意程式碼並執行
4. 惡意程式碼竊取使用者資料併傳送到攻擊者的網站，或者冒充使用者的行為，呼叫目標網站介面執行攻擊者指定的操作

DOM 型 XSS 跟前兩種 XSS 的區別：DOM 型 XSS 攻擊中，取出和執行惡意程式碼由瀏覽器端完成，屬於前端 JavaScript 自身的安全漏洞，而其他兩種 XSS 都屬於服務端的安全漏洞

XSS的預防

透過前面介紹，看到XSS攻擊的兩大要素：

• 攻擊者提交而惡意程式碼
• 瀏覽器執行惡意程式碼

針對第一個要素，我們在使用者輸入的過程中，過濾掉使用者輸入的惡劣程式碼，然後提交給後端，但是如果攻擊者繞開前端請求，直接構造請求就不能預防了

而如果在後端寫入資料庫前，對輸入進行過濾，然後把內容給前端，但是這個內容在不同地方就會有不同顯示

例如：

一個正常的使用者輸入了 5 < 7 這個內容，在寫入資料庫前，被轉義，變成了 5 < 7

在客戶端中，一旦經過了 escapeHTML()，客戶端顯示的內容就變成了亂碼( 5 < 7 )

在前端中，不同的位置所需的編碼也不同。

• 當 5 < 7 作為 HTML 拼接頁面時，可以正常顯示：

<div title="comment">5 < 7</div>

• 當 5 < 7 透過 Ajax 返回，然後賦值給 JavaScript 的變數時，前端得到的字串就是轉義後的字元。這個內容不能直接用於 Vue 等模板的展示，也不能直接用於內容長度計算。不能用於標題、alert 等

可以看到，過濾並非可靠的，下面就要透過防止瀏覽器執行惡意程式碼：

在使用 .innerHTML、.outerHTML、document.write() 時要特別小心，不要把不可信的資料作為 HTML 插到頁面上，而應儘量使用 .textContent、.setAttribute() 等

如果用 Vue/React 技術棧，並且不使用 v-html/dangerouslySetInnerHTML 功能，就在前端 render 階段避免 innerHTML、outerHTML 的 XSS 隱患

DOM 中的內聯事件監聽器，如 location、onclick、onerror、onload、onmouseover 等，<a> 標籤的 href 屬性，JavaScript 的 eval()、setTimeout()、setInterval() 等，都能把字串作為程式碼執行。如果不可信的資料拼接到字串中傳遞給這些 API，很容易產生安全隱患，請務必避免

<!-- 連結內包含惡意程式碼 -->
< a href=" ">1</ a>

<script>
// setTimeout()/setInterval() 中呼叫惡意程式碼
setTimeout("UNTRUSTED")
setInterval("UNTRUSTED")

// location 呼叫惡意程式碼
location.href = 'UNTRUSTED'

// eval() 中呼叫惡意程式碼
eval("UNTRUSTED")

三、CSRF

CSRF（Cross-site request forgery）跨站請求偽造：攻擊者誘導受害者進入第三方網站，在第三方網站中，向被攻擊網站傳送跨站請求

利用受害者在被攻擊網站已經獲取的註冊憑證，繞過後臺的使用者驗證，達到冒充使用者對被攻擊的網站執行某項操作的目

一個典型的CSRF攻擊有著如下的流程：

• 受害者登入a.com，並保留了登入憑證（Cookie）
• 攻擊者引誘受害者訪問了b.com
• b.com 向 a.com 傳送了一個請求：a.com/act=xx。瀏覽器會預設攜帶a.com的Cookie
• a.com接收到請求後，對請求進行驗證，並確認是受害者的憑證，誤以為是受害者自己傳送的請求
• a.com以受害者的名義執行了act=xx
• 攻擊完成，攻擊者在受害者不知情的情況下，冒充受害者，讓a.com執行了自己定義的操作

csrf可以透過get請求，即透過訪問img的頁面後，瀏覽器自動訪問目標地址，傳送請求

同樣，也可以設定一個自動提交的表單傳送post請求，如下：

<form action="http://bank.example/withdraw" method=POST>
    <input type="hidden" name="account" value="xiaoming" />
    <input type="hidden" name="amount" value="10000" />
    <input type="hidden" name="for" value="hacker" />
</form>
<script> document.forms[0].submit(); </script> 

訪問該頁面後，表單會自動提交，相當於模擬使用者完成了一次POST操作

還有一種為使用a標籤的，需要使用者點選連結才會觸發

訪問該頁面後，表單會自動提交，相當於模擬使用者完成了一次POST操作

< a href="http://test.com/csrf/withdraw.php?amount=1000&for=hacker" taget="_blank">
    重磅訊息！！
<a/>

CSRF的特點

• 攻擊一般發起在第三方網站，而不是被攻擊的網站。被攻擊的網站無法防止攻擊發生
• 攻擊利用受害者在被攻擊網站的登入憑證，冒充受害者提交操作；而不是直接竊取資料
• 整個過程攻擊者並不能獲取到受害者的登入憑證，僅僅是“冒用”
• 跨站請求可以用各種方式：圖片URL、超連結、CORS、Form提交等等。部分請求方式可以直接嵌入在第三方論壇、文章中，難以進行追蹤

CSRF的預防

CSRF通常從第三方網站發起，被攻擊的網站無法防止攻擊發生，只能透過增強自己網站針對CSRF的防護能力來提升安全性

防止csrf常用方案如下：

• 阻止不明外域的訪問
  • 同源檢測
  • Samesite Cookie
• 提交時要求附加本域才能獲取的資訊
  • CSRF Token
  • 雙重Cookie驗證

這裡主要講講token這種形式，流程如下：

• 使用者開啟頁面的時候，伺服器需要給這個使用者生成一個Token
• 對於GET請求，Token將附在請求地址之後。對於 POST 請求來說，要在 form 的最後加上

<input type=”hidden” name=”csrftoken” value=”tokenvalue”/>

• 當使用者從客戶端得到了Token，再次提交給伺服器的時候，伺服器需要判斷Token的有效性

四、SQL隱碼攻擊

Sql 注入攻擊，是透過將惡意的 Sql查詢或新增語句插入到應用的輸入引數中，再在後臺 Sql伺服器上解析執行進行的攻擊

流程如下所示：

• 找出SQL漏洞的注入點

• 判斷資料庫的型別以及版本

• 猜解使用者名稱和密碼

• 利用工具查詢Web後臺管理入口

• 入侵和破壞

預防方式如下：

• 嚴格檢查輸入變數的型別和格式
• 過濾和轉義特殊字元
• 對訪問資料庫的Web應用程式採用Web應用防火牆

上述只是列舉了常見的web攻擊方式，實際開發過程中還會遇到很多安全問題，對於這些問題， 切記不可忽視

參考文獻

• https://tech.meituan.com/2018/09/27/fe-security.html
• https://developer.mozilla.org/zh-CN/docs/learn/Server-side/First_steps/Website_security

如果對您有所幫助，歡迎您點個關注，我會定時更新技術文件，大家一起討論學習，一起進步。