摘要:跨站請求偽造定義又稱,攻擊者盜用用戶身份��,發(fā)送惡意請求��。避免全站通用的���,嚴(yán)格設(shè)置的域���。并且通過攜帶過程的信息可以使服務(wù)端返回開頭的狀態(tài)碼�,從而拒絕合理的請求服務(wù)����。
CSRF (cross site request forgery)跨站請求偽造
定義
又稱XSRF�,攻擊者盜用用戶身份,發(fā)送惡意請求�����?�!久俺溆脩舭l(fā)起請求(在用戶不知情的情況下),完成一些違背用戶意愿的請求(如惡意發(fā)帖���,刪帖��,改密碼�����,發(fā)郵件等)】
原理
用戶登錄受信任網(wǎng)站A�,網(wǎng)站A下發(fā)cookies����,在未關(guān)閉A網(wǎng)站頁面情況下����,訪問B網(wǎng)站�����,網(wǎng)站B接收到用戶請求后��,返回一些攻擊性代碼��,并發(fā)出一個(gè)請求要求訪問第三方站點(diǎn)A����,于是,便帶著網(wǎng)站A下發(fā)cookies完成請求
注:合法用戶(C)����、存在漏洞網(wǎng)站(A)、攻擊網(wǎng)站(B)
用途&危害
以你名義發(fā)送郵件����,發(fā)消息,盜取你的賬號���,甚至于購買商品��,虛擬貨幣轉(zhuǎn)賬等
個(gè)人隱私泄露以及財(cái)產(chǎn)安全受到威脅���、網(wǎng)站信譽(yù)受到影響
防御
通過 referer��、token 或者 驗(yàn)證碼 來檢測用戶提交。(驗(yàn)證refer(referer)(禁止來自第三方網(wǎng)站的請求))
盡量不要在頁面的鏈接中暴露用戶隱私信息���。
對于用戶修改刪除等操作最好都使用post 操作 ���。
避免全站通用的cookie,嚴(yán)格設(shè)置cookie的域�����。
xss (cross site scripting) 跨站腳本攻擊
定義
攻擊者可以利用 web應(yīng)用的漏洞或缺陷之處�����,向頁面注入惡意的程序或代碼����,以達(dá)到攻擊的目的
原理
攻擊者通過各種辦法�����,在用戶訪問的網(wǎng)頁中注入惡意腳本���,讓其在用戶訪問網(wǎng)頁時(shí)在其瀏覽器中進(jìn)行執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的
類型
反射性XSS
通過給用戶發(fā)送帶有惡意腳本代碼參數(shù)的URL��,當(dāng)URL被打開時(shí)��,特有的惡意代碼被html解析��,執(zhí)行����。
特點(diǎn)是非持久化,必須用戶點(diǎn)擊特定參數(shù)的鏈接才能引起
存儲型XSS
XSS代碼提交給網(wǎng)站 -> 網(wǎng)站把XSS代碼存儲進(jìn)數(shù)據(jù)庫 -> 當(dāng)該頁面再次被訪問時(shí)服務(wù)器發(fā)送已經(jīng)被植入XSS代碼的數(shù)據(jù)給客戶端 -> 客戶端執(zhí)行XSS代碼
基于DOM的XSS
DOM中的可被用戶操縱的對象����,如果DOM中的數(shù)據(jù)沒有經(jīng)過嚴(yán)格確認(rèn),就會產(chǎn)生漏洞XSS
用途&危害
身份盜用���,釣魚欺騙�、垃圾信息發(fā)送
盜取用戶信息��、隱私
網(wǎng)站釣魚,盜取各類用戶的賬號
劫持用戶會話����,從而執(zhí)行任意操作,例如進(jìn)行非法轉(zhuǎn)賬����,強(qiáng)制發(fā)表日志等
強(qiáng)制彈出廣告頁面,刷流量
流量劫持(通過訪問某段具有 window.location.href 定位到其他頁面)
dos攻擊:利用合理的客戶端請求來占用過多的服務(wù)器資源����,從而使合法用戶無法得到服務(wù)器響應(yīng)����。并且通過攜帶過程的 cookie信息可以使服務(wù)端返回400開頭的狀態(tài)碼,從而拒絕合理的請求服務(wù)�����。
防御
對數(shù)據(jù)進(jìn)行轉(zhuǎn)義����,針對富文本設(shè)置白名單,使用CSP
具體做法:
對輸入內(nèi)容的特定字符進(jìn)行編碼��,例如表示 html標(biāo)記的 < > 等符號。
對重要的 cookie設(shè)置 httpOnly, 防止客戶端通過document.cookie讀取 cookie�����,此 HTTP頭由服務(wù)端設(shè)置�����。
將不可信的值輸出 URL參數(shù)之前���,進(jìn)行 URLEncode操作�,而對于從 URL參數(shù)中獲取值一定要進(jìn)行格式檢測(比如你需要的時(shí)URL���,就判讀是否滿足URL格式)�����。
不要使用 Eval來解析并運(yùn)行不確定的數(shù)據(jù)或代碼�,對于 JSON解析請使用 JSON.parse() 方法���。
后端接口也應(yīng)該要做到關(guān)鍵字符過濾的問題�。
XSS、CSRF兩者區(qū)別
XSS利用站點(diǎn)內(nèi)的信任用戶���,而CSRF則通過偽裝來自受信任用戶的請求來攻擊受信任的網(wǎng)站
XSS是服務(wù)器對用戶輸入的數(shù)據(jù)沒有進(jìn)行足夠的過濾��,導(dǎo)致客戶端瀏覽器在渲染服務(wù)器返回的html頁面時(shí)���,出現(xiàn)了預(yù)期值之外的腳本語句被執(zhí)行。
CSRF是服務(wù)器端沒有對用戶提交的數(shù)據(jù)進(jìn)行隨機(jī)值校驗(yàn)�����,且對http請求包內(nèi)的refer字段校驗(yàn)不嚴(yán)��,導(dǎo)致攻擊者可以利用用戶的Cookie信息偽造用戶請求發(fā)送至服務(wù)器
CORS
是一個(gè)W3C標(biāo)準(zhǔn)���,全稱是"跨域資源共享"(Cross-origin resource sharing)它允許瀏覽器向跨源服務(wù)器,發(fā)出XMLHttpRequest請求��,從而克服了AJAX只能同源使用的限制��。
最常用�����,主要是后端配置
實(shí)現(xiàn)此功能非常簡單,只需由服務(wù)器發(fā)送一個(gè)響應(yīng)標(biāo)頭即可����。
如:php文件中 header("Access-control-allow-origin:*")
注:ajax xhr.open(method, url, async) async[true: 異步]
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/102979.html
