基本的 Web 安全

1. 基本的 Web 安全
   1. 跨站脚本（Cross-Site Scripting）XSS
      1. 反射型 XSS 攻击原理
      2. 存储型 XSS 攻击原理
      3. DOM-XSS 攻击原理
   2. 防范 XSS 攻击
   3. SQL 注入
      1. SQL 注入的危害举例
      2. SQL 注入漏洞的形成
      3. SQL 注入基本场景
         1. 举例
      4. SQL 注入的主要原因与防范
   4. 跨站请求伪造（Cross-Site Request Forgey，CSRF）
      1. 跨站脚本你攻击原理
      2. Cookie
      3. 对 CSRF 攻击的防御

Web 丰富了我们的生活 ，World Wide Web 即万维网，已经成为 Internet 的重要组成部分

随着 Web2.0 技术 不断提升，Web 应用程序的功能也越来越丰富，如电子邮件、在线游戏，在线文档编辑、社交网站、网上购物等。

Web 应用技术门槛低，受众面广，攻击者攻击这些 Web 服务往往能够获得巨大经济利益。

因此对 Web 应用程序的渗透攻击已经超过了对操作系统和网络服务程序的漏洞攻击，成为攻击者最受青睐的目标。

跨站脚本（Cross-Site Scripting）XSS

维基百科定义：
跨站脚本 XSS 通常是指攻击者利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，是用户加载网页时会运行攻击者恶意制造的代码。

这些可以被称为脚本的代码可以是

• JavaScript
• VBScript
• ActiveX
• Flash
• HTML

攻击成功后，
攻击者：得到敏感信息-> 获取更高用户权限-> 以被攻击者身份执行操作

如发微博、加好友、发私信、进行不正当投票等活动

跨站脚本 XSS 分为三种类型：

• 反射型 XSS
• 存储型 XSS
• DOM-XSS

反射型 XSS 攻击原理

1. 通过 email/http 将恶意链接发送给用户
2. 用户点击链接，向受害服务器发送攻击者的请求
3. 受害服务器在响应页面中包含了攻击者的恶意脚本
4. 发送有价值的隐私信息

存储型 XSS 攻击原理

DOM-XSS 攻击原理

DOM,全称是 Document Object Model),文档对象模型
当用户能够通过交互修改浏览器页面中的 DOM 并显示在浏览器上时，就有可能产生这种漏洞。
假设 www.victim.com 这段代码用于创建表单以允许用户选择首选语言，查询字符串也在阐述“默认”中设置默认语言。

防范 XSS 攻击

应用安全国际组织 OWASP 给网站的建议;

对所有来自外部的用户输入进行完备的检查；
对所有输出到响应页面的数据进行适当的编码，以防止任何已成功注入的脚本在客户浏览器端运行

给普通用户的建议

• 在浏览器设置中关闭 JavaScript
• 关闭 cookie 或设置 cookie 为只读
• 提高浏览器的安全等级设置
• 尽量使用非 IE 的安全浏览器来降低风险

XSS 攻击随着社会工程学的成功应用，个人用户还需要增强安全意识，只信任值得信任的站点或内容，不要轻信点击不明链接。

SQL 注入

SQL 注入是指利用 Web 应用程序输入验证不完善的漏洞，将一段精心构造的 SQL 命令注入到后台数据库引擎执行。

SQL 注入的危害举例

• 1.数据库中存放的用户隐私被泄露
• 2.网页被篡改，即通过操作数据库对特定网页进行篡改
• 3.通过修改数据库一些字段的值，嵌入网页链接，进行挂马攻击
• 4.数据库的系统管理员账户被篡改
• 5.服务器被黑客安装后门进行远程控制
• 6.破坏硬盘数据，瘫痪全系统
• 。。。

SQL 注入漏洞的形成

SQL 注入基本场景

举例

SQL 注入的主要原因与防范

SQL 注入的主要原因：

Web 应用程序没有对用户输入进行严格的转义字符过滤和类型检查

防范 SQL 注入攻击要注意：

• 1、使用类型安全的参数编码机制
• 2、对来自程序外部的用户输入，必须进行完备检查
• 3、将动态 SQL 语句替换为存储过程，预编译 SQL 或 ADO 命令对象
• 4、加强 SQL 数据库服务器的配置与连接，以最小权限配置原则配置 Web 应用程序连接数据库操作的权限，避免将敏感数据明文存放于数据库中

跨站请求伪造（Cross-Site Request Forgey，CSRF）

跨站脚本你攻击原理

攻击者利用合法用户与服务器的已认证会话，诱骗用户发送恶意请求到服务器，攻击者就可以合法用户身份，在目标服务器进行非法操作。

• 1、建立受认证的会话，生成 cookie
• 2、访问攻击者服务器
• 3、接收包含恶意代码的页面
• 4、利用已认证会话，发送恶意请求

利用 Web 用户身份验证的漏洞：

基于 Cookies 的身份验证只能保证请求发自用户的浏览器，却不能保证请求是用户自愿发出的。

Cookie

Cookie 又称浏览器缓存，是 Web 服务器保存在用户浏览器上经过加密的小文本文件，用于

• 记录用户信息
• 辨别用户身份
• 进行会话跟踪等

持久 Cookie 可以保持登录信息到用户下次与服务器的会话。

对 CSRF 攻击的防御

从以下三个层次入手对 CSRF 攻击的防御

• 服务端
• 客户端
• 设备端

个人防止 CSRF 攻击：

养成良好的上网习惯，能够帮助用户减少 CSRF 攻击的危害

• 不要轻易点击网络论坛、聊天室、即时通讯工具或电子邮件中出现的链接或者图片
• 及时退出已登录账户
• 为计算机系统安装安全防护软件，及时更新特征库和软件升级
• 使用浏览器插件扩展防护