摘要:防范措施轉(zhuǎn)義驗(yàn)證用戶輸入攻擊指跨域請(qǐng)求偽造���,這是一種近年來(lái)才逐漸被大眾了解的攻擊方式��。防范措施正確使用方法令牌效驗(yàn)其中令牌是比較常用的方法��,具體做法是在表單提交中添加一些偽隨機(jī)數(shù)��,即令牌��,這里我們就不詳細(xì)展開(kāi)�����。
簡(jiǎn)單總結(jié)一下日常web開(kāi)發(fā)中會(huì)出現(xiàn)的一些安全問(wèn)題�,以Flask框架為例
注入攻擊(Injection)
注入攻擊主要包括系統(tǒng)命令注入�����,SQL注入����,NoSQL注入���,和ORM注入等���,這里我們簡(jiǎn)單介紹一下SQL注入
攻擊原理
在編寫(xiě)SQL語(yǔ)句時(shí)����,如果直接將用戶傳入的輸入作為參數(shù)使用字符串拼接的方式插入到SQL查詢中的話��,攻擊者則可以利用SQL語(yǔ)句篡改�,竊取數(shù)據(jù)庫(kù)的信息。
攻擊實(shí)例
@app.route("/student")
def get_table():
password = request.args.get("password")
cur = db.execute("SELECT * FROM students WHERE password="%s;"
% password)
results = cur.fetchall()
return results
如果攻擊者輸入的值為"or 1=1--"��,這意味著會(huì)返回students表中的所有數(shù)據(jù)�;或者輸入"; drop table users; --",會(huì)刪除students表中的所有數(shù)據(jù)�。
主要防范方法
使用ORM
驗(yàn)證輸入類(lèi)型
轉(zhuǎn)義特殊字符
XSS攻擊
XSS(Cross-Site Scripting)即跨站腳本攻擊,為了避免與CSS層疊樣式表產(chǎn)生命名沖突�����,用X來(lái)表示Cross(交叉)
攻擊原理
XSS其實(shí)是注入攻擊的一種����,通過(guò)將代碼注入被攻擊者的網(wǎng)站中�,用戶一旦訪問(wèn)便會(huì)執(zhí)行被注入的惡意腳本����。其中,XSS攻擊主要分為反射型XSS攻擊和存儲(chǔ)型XSS攻擊兩種����。
攻擊示例
反射型XSS攻擊
反射型XSS又稱為非持久型XSS,當(dāng)某個(gè)站點(diǎn)存在XSS漏洞時(shí)����,可以通過(guò)URL注入惡意腳本,當(dāng)用戶訪問(wèn)這個(gè)URL時(shí)���,就會(huì)執(zhí)行攻擊腳本��。
@app.route("hello")
def hello():
name = request.args.get("name")
response = "Hello, %s
" % name
return response
如果用戶輸入一段javascript代碼�����,如訪問(wèn)http://example.com/hello/�����,客戶端介紹到響應(yīng)后��,瀏覽器就會(huì)執(zhí)行這段代碼����,當(dāng)然這個(gè)示例代碼不會(huì)構(gòu)成任何威脅�,但這意味著可以執(zhí)行任意的js代碼,鬼知道攻擊者會(huì)做些什么����!
存儲(chǔ)型XSS攻擊
存儲(chǔ)型XSS也被稱為持久型XSS,它和反射型XSS的行為類(lèi)似��,不過(guò)會(huì)把植入的惡意代碼存儲(chǔ)到數(shù)據(jù)庫(kù)中����,如在留言區(qū)寫(xiě)入一段重定向代碼,這會(huì)導(dǎo)致用戶在訪問(wèn)留言區(qū)頁(yè)面時(shí)被重定向到一些惡意站點(diǎn)�����。
防范措施
HTML轉(zhuǎn)義
驗(yàn)證用戶輸入
CSRF攻擊
CSRF(Cross Site Request Forgery)指跨域請(qǐng)求偽造����,這是一種近年來(lái)才逐漸被大眾了解的攻擊方式。
攻擊原理
攻擊者利用用戶在瀏覽器中保存的認(rèn)證信息,向?qū)?yīng)的站點(diǎn)發(fā)送偽造請(qǐng)求���。如用戶登錄了A網(wǎng)站���,認(rèn)證信息保存在cookie中,當(dāng)用戶訪問(wèn)惡意網(wǎng)站B時(shí)��,攻擊者通過(guò)B網(wǎng)站發(fā)送一個(gè)偽造的請(qǐng)求提交到A網(wǎng)站服務(wù)器上��,這會(huì)讓A網(wǎng)站誤以為請(qǐng)求來(lái)自于自己的網(wǎng)站���,從而可以讓攻擊者成功篡改某些信息�。
攻擊示例
假設(shè)服務(wù)器端刪除用戶賬戶的視圖操作為
@app.route("/account/delete")
def delete_account():
if not current_user.authenticated:
abort(401)
current_user.delete()
return "deleted!"
當(dāng)用戶登錄后��,只要訪問(wèn)https://example.com/account/delete就會(huì)刪除賬戶����,那么在攻擊者的網(wǎng)站上,只要?jiǎng)?chuàng)建一個(gè)顯示圖片的img����,其中的src的屬性加入刪除賬戶的URL,當(dāng)用戶訪問(wèn)B網(wǎng)站時(shí)���,瀏覽器解析網(wǎng)頁(yè)會(huì)自動(dòng)向該鏈接發(fā)送請(qǐng)求���,此時(shí)你的登錄信息就保存在瀏覽器的cookie中�����,因此�,僅僅是訪問(wèn)B網(wǎng)站就會(huì)導(dǎo)致刪除賬戶���。
防范措施
正確使用HTTP方法
CSRF令牌效驗(yàn)
其中CSRF令牌是比較常用的方法,具體做法是在表單提交中添加一些偽隨機(jī)數(shù)�����,即CSRF令牌(token)��,這里我們就不詳細(xì)展開(kāi)�����。
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/43495.html
