摘要：想閱讀更多優(yōu)質(zhì)原創(chuàng)文章請(qǐng)猛戳博客一，跨站腳本攻擊，因?yàn)榭s寫(xiě)和重疊，所以只能叫。跨站腳本攻擊是指通過(guò)存在安全漏洞的網(wǎng)站注冊(cè)用戶(hù)的瀏覽器內(nèi)運(yùn)行非法的標(biāo)簽或進(jìn)行的一種攻擊?？缯灸_本攻擊有可能造成以下影響利用虛假輸入表單騙取用戶(hù)個(gè)人信息。

在互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)安全與個(gè)人隱私受到了前所未有的挑戰(zhàn)，各種新奇的攻擊技術(shù)層出不窮。如何才能更好地保護(hù)我們的數(shù)據(jù)？本文主要側(cè)重于分析幾種常見(jiàn)的攻擊的類(lèi)型以及防御的方法。

想閱讀更多優(yōu)質(zhì)原創(chuàng)文章請(qǐng)猛戳GitHub博客

XSS (Cross-Site Scripting)，跨站腳本攻擊，因?yàn)榭s寫(xiě)和 CSS重疊，所以只能叫 XSS。跨站腳本攻擊是指通過(guò)存在安全漏洞的Web網(wǎng)站注冊(cè)用戶(hù)的瀏覽器內(nèi)運(yùn)行非法的HTML標(biāo)簽或JavaScript進(jìn)行的一種攻擊。

跨站腳本攻擊有可能造成以下影響:

利用虛假輸入表單騙取用戶(hù)個(gè)人信息。

利用腳本竊取用戶(hù)的Cookie值，被害者在不知情的情況下，幫助攻擊者發(fā)送惡意請(qǐng)求。

顯示偽造的文章或圖片。

XSS 的原理是惡意攻擊者往 Web 頁(yè)面里插入惡意可執(zhí)行網(wǎng)頁(yè)腳本代碼，當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)，嵌入其中 Web 里面的腳本代碼會(huì)被執(zhí)行，從而可以達(dá)到攻擊者盜取用戶(hù)信息或其他侵犯用戶(hù)安全隱私的目的。

XSS 的攻擊方式千變?nèi)f化，但還是可以大致細(xì)分為幾種類(lèi)型。

非持久型 XSS 漏洞，一般是通過(guò)給別人發(fā)送帶有惡意腳本代碼參數(shù)的 URL，當(dāng) URL 地址被打開(kāi)時(shí)，特有的惡意代碼參數(shù)被 HTML 解析、執(zhí)行。

舉一個(gè)例子，比如頁(yè)面中包含有以下代碼：

攻擊者可以直接通過(guò) URL (類(lèi)似：https://xxx.com/xxx?default=) 注入可執(zhí)行的腳本代碼。不過(guò)一些瀏覽器如Chrome其內(nèi)置了一些XSS過(guò)濾器，可以防止大部分反射型XSS攻擊。

非持久型 XSS 漏洞攻擊有以下幾點(diǎn)特征：

即時(shí)性，不經(jīng)過(guò)服務(wù)器存儲(chǔ)，直接通過(guò) HTTP 的 GET 和 POST 請(qǐng)求就能完成一次攻擊，拿到用戶(hù)隱私數(shù)據(jù)。

攻擊者需要誘騙點(diǎn)擊,必須要通過(guò)用戶(hù)點(diǎn)擊鏈接才能發(fā)起

反饋率低，所以較難發(fā)現(xiàn)和響應(yīng)修復(fù)

盜取用戶(hù)敏感保密信息

為了防止出現(xiàn)非持久型 XSS 漏洞，需要確保這么幾件事情：

Web 頁(yè)面渲染的所有內(nèi)容或者渲染的數(shù)據(jù)都必須來(lái)自于服務(wù)端。

盡量不要從 URL，document.referrer，document.forms 等這種 DOM API 中獲取數(shù)據(jù)直接渲染。

盡量不要使用 eval, new Function()，document.write()，document.writeln()，window.setInterval()，window.setTimeout()，innerHTML，document.createElement() 等可執(zhí)行字符串的方法。

如果做不到以上幾點(diǎn)，也必須對(duì)涉及 DOM 渲染的方法傳入的字符串參數(shù)做 escape 轉(zhuǎn)義。

前端渲染的時(shí)候?qū)θ魏蔚淖侄味夹枰?escape 轉(zhuǎn)義編碼。

持久型 XSS 漏洞，一般存在于 Form 表單提交等交互功能，如文章留言，提交文本信息等，黑客利用的 XSS 漏洞，將內(nèi)容經(jīng)正常功能提交進(jìn)入數(shù)據(jù)庫(kù)持久保存，當(dāng)前端頁(yè)面獲得后端從數(shù)據(jù)庫(kù)中讀出的注入代碼時(shí)，恰好將其渲染執(zhí)行。

舉個(gè)例子，對(duì)于評(píng)論功能來(lái)說(shuō)，就得防范持久型 XSS 攻擊，因?yàn)槲铱梢栽谠u(píng)論中輸入以下內(nèi)容

主要注入頁(yè)面方式和非持久型 XSS 漏洞類(lèi)似，只不過(guò)持久型的不是來(lái)源于 URL，referer，forms 等，而是來(lái)源于后端從數(shù)據(jù)庫(kù)中讀出來(lái)的數(shù)據(jù) 。持久型 XSS 攻擊不需要誘騙點(diǎn)擊，黑客只需要在提交表單的地方完成注入即可，但是這種 XSS 攻擊的成本相對(duì)還是很高。

攻擊成功需要同時(shí)滿足以下幾個(gè)條件：

POST 請(qǐng)求提交表單后端沒(méi)做轉(zhuǎn)義直接入庫(kù)。

后端從數(shù)據(jù)庫(kù)中取出數(shù)據(jù)沒(méi)做轉(zhuǎn)義直接輸出給前端。

前端拿到后端數(shù)據(jù)沒(méi)做轉(zhuǎn)義直接渲染成 DOM。

持久型 XSS 有以下幾個(gè)特點(diǎn)：

持久性，植入在數(shù)據(jù)庫(kù)中

盜取用戶(hù)敏感私密信息

危害面廣

對(duì)于 XSS 攻擊來(lái)說(shuō)，通常有兩種方式可以用來(lái)防御。

CSP 本質(zhì)上就是建立白名單，開(kāi)發(fā)者明確告訴瀏覽器哪些外部資源可以加載和執(zhí)行。我們只需要配置規(guī)則，如何攔截是由瀏覽器自己實(shí)現(xiàn)的。我們可以通過(guò)這種方式來(lái)盡量減少 XSS 攻擊。

通?？梢酝ㄟ^(guò)兩種方式來(lái)開(kāi)啟 CSP：

設(shè)置 HTTP Header 中的 Content-Security-Policy

設(shè)置 meta 標(biāo)簽的方式

這里以設(shè)置 HTTP Header 來(lái)舉例：

只允許加載本站資源

Content-Security-Policy: default-src "self"

只允許加載 HTTPS 協(xié)議圖片

Content-Security-Policy: img-src https://*

允許加載任何來(lái)源框架

Content-Security-Policy: child-src "none"

如需了解更多屬性，請(qǐng)查看Content-Security-Policy文檔

對(duì)于這種方式來(lái)說(shuō)，只要開(kāi)發(fā)者配置了正確的規(guī)則，那么即使網(wǎng)站存在漏洞，攻擊者也不能執(zhí)行它的攻擊代碼，并且 CSP 的兼容性也不錯(cuò)。

用戶(hù)的輸入永遠(yuǎn)不可信任的，最普遍的做法就是轉(zhuǎn)義輸入輸出的內(nèi)容，對(duì)于引號(hào)、尖括號(hào)、斜杠進(jìn)行轉(zhuǎn)義

function escape(str) {
  str = str.replace(/&/g, "&")
  str = str.replace(//g, ">")
  str = str.replace(/"/g, "&quto;")
  str = str.replace(/"/g, "'")
  str = str.replace(/`/g, "`")
  str = str.replace(///g, "/")
  return str
}

但是對(duì)于顯示富文本來(lái)說(shuō)，顯然不能通過(guò)上面的辦法來(lái)轉(zhuǎn)義所有字符，因?yàn)檫@樣會(huì)把需要的格式也過(guò)濾掉。對(duì)于這種情況，通常采用白名單過(guò)濾的辦法，當(dāng)然也可以通過(guò)黑名單過(guò)濾，但是考慮到需要過(guò)濾的標(biāo)簽和標(biāo)簽屬性實(shí)在太多，更加推薦使用白名單的方式。

const xss = require("xss")
let html = xss("
XSS Demo
")
// -> 
XSS Demo
console.log(html)

以上示例使用了 js-xss 來(lái)實(shí)現(xiàn)，可以看到在輸出中保留了 h1 標(biāo)簽且過(guò)濾了 script 標(biāo)簽。

這是預(yù)防XSS攻擊竊取用戶(hù)cookie最有效的防御手段。Web應(yīng)用程序在設(shè)置cookie時(shí)，將其屬性設(shè)為HttpOnly，就可以避免該網(wǎng)頁(yè)的cookie被客戶(hù)端惡意JavaScript竊取，保護(hù)用戶(hù)cookie信息。

CSRF(Cross Site Request Forgery)，即跨站請(qǐng)求偽造，是一種常見(jiàn)的Web攻擊，它利用用戶(hù)已登錄的身份，在用戶(hù)毫不知情的情況下，以用戶(hù)的名義完成非法操作。

下面先介紹一下CSRF攻擊的原理：

完成 CSRF 攻擊必須要有三個(gè)條件：

用戶(hù)已經(jīng)登錄了站點(diǎn) A，并在本地記錄了 cookie

在用戶(hù)沒(méi)有登出站點(diǎn) A 的情況下（也就是 cookie 生效的情況下），訪問(wèn)了惡意攻擊者提供的引誘危險(xiǎn)站點(diǎn) B (B 站點(diǎn)要求訪問(wèn)站點(diǎn)A)。

站點(diǎn) A 沒(méi)有做任何 CSRF 防御

我們來(lái)看一個(gè)例子： 當(dāng)我們登入轉(zhuǎn)賬頁(yè)面后，突然眼前一亮驚現(xiàn)"XXX隱私照片，不看后悔一輩子"的鏈接，耐不住內(nèi)心躁動(dòng)，立馬點(diǎn)擊了該危險(xiǎn)的網(wǎng)站（頁(yè)面代碼如下圖所示），但當(dāng)這頁(yè)面一加載，便會(huì)執(zhí)行submitForm這個(gè)方法來(lái)提交轉(zhuǎn)賬請(qǐng)求，從而將10塊轉(zhuǎn)給黑客。

防范 CSRF 攻擊可以遵循以下幾種規(guī)則：

Get 請(qǐng)求不對(duì)數(shù)據(jù)進(jìn)行修改

不讓第三方網(wǎng)站訪問(wèn)到用戶(hù) Cookie

阻止第三方網(wǎng)站請(qǐng)求接口

請(qǐng)求時(shí)附帶驗(yàn)證信息，比如驗(yàn)證碼或者 Token

可以對(duì) Cookie 設(shè)置 SameSite 屬性。該屬性表示 Cookie 不隨著跨域請(qǐng)求發(fā)送，可以很大程度減少 CSRF 的攻擊，但是該屬性目前并不是所有瀏覽器都兼容。

HTTP Referer是header的一部分，當(dāng)瀏覽器向web服務(wù)器發(fā)送請(qǐng)求時(shí)，一般會(huì)帶上Referer信息告訴服務(wù)器是從哪個(gè)頁(yè)面鏈接過(guò)來(lái)的，服務(wù)器籍此可以獲得一些信息用于處理。可以通過(guò)檢查請(qǐng)求的來(lái)源來(lái)防御CSRF攻擊。正常請(qǐng)求的referer具有一定規(guī)律，如在提交表單的referer必定是在該頁(yè)面發(fā)起的請(qǐng)求。所以通過(guò)檢查http包頭referer的值是不是這個(gè)頁(yè)面，來(lái)判斷是不是CSRF攻擊。

但在某些情況下如從https跳轉(zhuǎn)到http，瀏覽器處于安全考慮，不會(huì)發(fā)送referer，服務(wù)器就無(wú)法進(jìn)行check了。若與該網(wǎng)站同域的其他網(wǎng)站有XSS漏洞，那么攻擊者可以在其他網(wǎng)站注入惡意腳本，受害者進(jìn)入了此類(lèi)同域的網(wǎng)址，也會(huì)遭受攻擊。出于以上原因，無(wú)法完全依賴(lài)Referer Check作為防御CSRF的主要手段。但是可以通過(guò)Referer Check來(lái)監(jiān)控CSRF攻擊的發(fā)生。

目前比較完善的解決方案是加入Anti-CSRF-Token。即發(fā)送請(qǐng)求時(shí)在HTTP 請(qǐng)求中以參數(shù)的形式加入一個(gè)隨機(jī)產(chǎn)生的token，并在服務(wù)器建立一個(gè)攔截器來(lái)驗(yàn)證這個(gè)token。服務(wù)器讀取瀏覽器當(dāng)前域cookie中這個(gè)token值，會(huì)進(jìn)行校驗(yàn)該請(qǐng)求當(dāng)中的token和cookie當(dāng)中的token值是否都存在且相等，才認(rèn)為這是合法的請(qǐng)求。否則認(rèn)為這次請(qǐng)求是違法的，拒絕該次服務(wù)。

這種方法相比Referer檢查要安全很多，token可以在用戶(hù)登陸后產(chǎn)生并放于session或cookie中，然后在每次請(qǐng)求時(shí)服務(wù)器把token從session或cookie中拿出，與本次請(qǐng)求中的token 進(jìn)行比對(duì)。由于token的存在，攻擊者無(wú)法再構(gòu)造出一個(gè)完整的URL實(shí)施CSRF攻擊。但在處理多個(gè)頁(yè)面共存問(wèn)題時(shí)，當(dāng)某個(gè)頁(yè)面消耗掉token后，其他頁(yè)面的表單保存的還是被消耗掉的那個(gè)token，其他頁(yè)面的表單提交時(shí)會(huì)出現(xiàn)token錯(cuò)誤。

應(yīng)用程序和用戶(hù)進(jìn)行交互過(guò)程中，特別是賬戶(hù)交易這種核心步驟，強(qiáng)制用戶(hù)輸入驗(yàn)證碼，才能完成最終請(qǐng)求。在通常情況下，驗(yàn)證碼夠很好地遏制CSRF攻擊。但增加驗(yàn)證碼降低了用戶(hù)的體驗(yàn)，網(wǎng)站不能給所有的操作都加上驗(yàn)證碼。所以只能將驗(yàn)證碼作為一種輔助手段，在關(guān)鍵業(yè)務(wù)點(diǎn)設(shè)置驗(yàn)證碼。

點(diǎn)擊劫持是一種視覺(jué)欺騙的攻擊手段。攻擊者將需要攻擊的網(wǎng)站通過(guò) iframe 嵌套的方式嵌入自己的網(wǎng)頁(yè)中，并將 iframe 設(shè)置為透明，在頁(yè)面中透出一個(gè)按鈕誘導(dǎo)用戶(hù)點(diǎn)擊。

隱蔽性較高，騙取用戶(hù)操作

"UI-覆蓋攻擊"

利用iframe或者其它標(biāo)簽的屬性

用戶(hù)在登陸 A 網(wǎng)站的系統(tǒng)后，被攻擊者誘惑打開(kāi)第三方網(wǎng)站，而第三方網(wǎng)站通過(guò) iframe 引入了 A 網(wǎng)站的頁(yè)面內(nèi)容，用戶(hù)在第三方網(wǎng)站中點(diǎn)擊某個(gè)按鈕（被裝飾的按鈕），實(shí)際上是點(diǎn)擊了 A 網(wǎng)站的按鈕。
接下來(lái)我們舉個(gè)例子：我在優(yōu)酷發(fā)布了很多視頻，想讓更多的人關(guān)注它，就可以通過(guò)點(diǎn)擊劫持來(lái)實(shí)現(xiàn)

iframe {
width: 1440px;
height: 900px;
position: absolute;
top: -0px;
left: -0px;
z-index: 2;
-moz-opacity: 0;
opacity: 0;
filter: alpha(opacity=0);
}
button {
position: absolute;
top: 270px;
left: 1150px;
z-index: 1;
width: 90px;
height:40px;
}

......
點(diǎn)擊脫衣

    
Password: 
    

后端的 SQL 語(yǔ)句可能是如下這樣的：

let querySQL = `
    SELECT *
    FROM user
    WHERE username="${username}"
    AND psw="${password}"
`;
// 接下來(lái)就是執(zhí)行 sql 語(yǔ)句...

這是我們經(jīng)常見(jiàn)到的登錄頁(yè)面，但如果有一個(gè)惡意攻擊者輸入的用戶(hù)名是 admin" --，密碼隨意輸入，就可以直接登入系統(tǒng)了。why! ----這就是SQL注入

我們之前預(yù)想的SQL 語(yǔ)句是:

SELECT * FROM user WHERE username="admin" AND psw="password"

但是惡意攻擊者用奇怪用戶(hù)名將你的 SQL 語(yǔ)句變成了如下形式：

SELECT * FROM user WHERE username="admin" --" AND psw="xxxx"

在 SQL 中," --是閉合和注釋的意思，-- 是注釋后面的內(nèi)容的意思，所以查詢(xún)語(yǔ)句就變成了：

SELECT * FROM user WHERE username="admin"

所謂的萬(wàn)能密碼,本質(zhì)上就是SQL注入的一種利用方式。

一次SQL注入的過(guò)程包括以下幾個(gè)過(guò)程：

獲取用戶(hù)請(qǐng)求參數(shù)

拼接到代碼當(dāng)中

SQL語(yǔ)句按照我們構(gòu)造參數(shù)的語(yǔ)義執(zhí)行成功

**SQL注入的必備條件：
1.可以控制輸入的數(shù)據(jù)
2.服務(wù)器要執(zhí)行的代碼拼接了控制的數(shù)據(jù)**。

我們會(huì)發(fā)現(xiàn)SQL注入流程中與正常請(qǐng)求服務(wù)器類(lèi)似，只是黑客控制了數(shù)據(jù)，構(gòu)造了SQL查詢(xún)，而正常的請(qǐng)求不會(huì)SQL查詢(xún)這一步，SQL注入的本質(zhì):數(shù)據(jù)和代碼未分離，即數(shù)據(jù)當(dāng)做了代碼來(lái)執(zhí)行。

獲取數(shù)據(jù)庫(kù)信息

管理員后臺(tái)用戶(hù)名和密碼

獲取其他數(shù)據(jù)庫(kù)敏感信息：用戶(hù)名、密碼、手機(jī)號(hào)碼、身份證、銀行卡信息……

整個(gè)數(shù)據(jù)庫(kù)：脫褲

獲取服務(wù)器權(quán)限

植入Webshell，獲取服務(wù)器后門(mén)

讀取服務(wù)器敏感文件

嚴(yán)格限制Web應(yīng)用的數(shù)據(jù)庫(kù)的操作權(quán)限，給此用戶(hù)提供僅僅能夠滿足其工作的最低權(quán)限，從而最大限度的減少注入攻擊對(duì)數(shù)據(jù)庫(kù)的危害

后端代碼檢查輸入的數(shù)據(jù)是否符合預(yù)期，嚴(yán)格限制變量的類(lèi)型，例如使用正則表達(dá)式進(jìn)行一些匹配處理。

對(duì)進(jìn)入數(shù)據(jù)庫(kù)的特殊字符（"，"，，<，>，&，*，; 等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換?；旧纤械暮蠖苏Z(yǔ)言都有對(duì)字符串進(jìn)行轉(zhuǎn)義處理的方法，比如 lodash 的 lodash._escapehtmlchar 庫(kù)。

所有的查詢(xún)語(yǔ)句建議使用數(shù)據(jù)庫(kù)提供的參數(shù)化查詢(xún)接口，參數(shù)化的語(yǔ)句使用參數(shù)而不是將用戶(hù)輸入變量嵌入到 SQL 語(yǔ)句中，即不要直接拼接 SQL 語(yǔ)句。例如 Node.js 中的 mysqljs 庫(kù)的 query 方法中的 ? 占位參數(shù)。

OS命令注入和SQL注入差不多，只不過(guò)SQL注入是針對(duì)數(shù)據(jù)庫(kù)的，而OS命令注入是針對(duì)操作系統(tǒng)的。OS命令注入攻擊指通過(guò)Web應(yīng)用，執(zhí)行非法的操作系統(tǒng)命令達(dá)到攻擊的目的。只要在能調(diào)用Shell函數(shù)的地方就有存在被攻擊的風(fēng)險(xiǎn)。倘若調(diào)用Shell時(shí)存在疏漏，就可以執(zhí)行插入的非法命令。

命令注入攻擊可以向Shell發(fā)送命令，讓W(xué)indows或Linux操作系統(tǒng)的命令行啟動(dòng)程序。也就是說(shuō)，通過(guò)命令注入攻擊可執(zhí)行操作系統(tǒng)上安裝著的各種程序。

黑客構(gòu)造命令提交給web應(yīng)用程序，web應(yīng)用程序提取黑客構(gòu)造的命令，拼接到被執(zhí)行的命令中，因黑客注入的命令打破了原有命令結(jié)構(gòu)，導(dǎo)致web應(yīng)用執(zhí)行了額外的命令，最后web應(yīng)用程序?qū)?zhí)行的結(jié)果輸出到響應(yīng)頁(yè)面中。

我們通過(guò)一個(gè)例子來(lái)說(shuō)明其原理，假如需要實(shí)現(xiàn)一個(gè)需求：用戶(hù)提交一些內(nèi)容到服務(wù)器，然后在服務(wù)器執(zhí)行一些系統(tǒng)命令去返回一個(gè)結(jié)果給用戶(hù)

// 以 Node.js 為例，假如在接口中需要從 github 下載用戶(hù)指定的 repo
const exec = require("mz/child_process").exec;
let params = {/* 用戶(hù)輸入的參數(shù) */};
exec(`git clone ${params.repo} /some/path`);

如果 params.repo 傳入的是 https://github.com/admin/admin.github.io.git 確實(shí)能從指定的 git repo 上下載到想要的代碼。
但是如果 params.repo 傳入的是 https://github.com/xx/xx.git && rm -rf /* && 恰好你的服務(wù)是用 root 權(quán)限起的就糟糕了。

后端對(duì)前端提交內(nèi)容進(jìn)行規(guī)則限制（比如正則表達(dá)式）。

在調(diào)用系統(tǒng)命令前對(duì)所有傳入?yún)?shù)進(jìn)行命令行參數(shù)轉(zhuǎn)義過(guò)濾。

不要直接拼接命令語(yǔ)句，借助一些工具做拼接、轉(zhuǎn)義預(yù)處理，例如 Node.js 的 shell-escape npm包

給大家推薦一個(gè)好用的BUG監(jiān)控工具Fundebug，歡迎免費(fèi)試用！

常見(jiàn)Web 安全攻防總結(jié)

前端面試之道

圖解Http

Web安全知多少

web安全之點(diǎn)擊劫持(clickjacking)

URL重定向/跳轉(zhuǎn)漏洞

網(wǎng)易web白帽子