一、XSS(跨站腳本攻擊)
最常見和基本的攻擊WEB網站的方法。攻擊者在網頁上發布包含攻擊性代碼的數據。當瀏覽者看到此網頁時,特定的腳本就會以瀏覽者用戶的身份和權限來執行。通過XSS可以比較容易地修改用戶數據、竊取用戶信息,以及造成其它類型的攻擊,例如CSRF攻擊
常見解決辦法:確保輸出到HTML頁面的數據以HTML的方式被轉義
詳見博文:web安全之XSS
二、CSRF(跨站請求偽造攻擊 Cross-site request forgery)
通過各種方法偽造一個請求,模仿用戶提交表單的行為,從而達到修改用戶的數據,或者執行特定任務的目的。為了假冒用戶的身份,CSRF攻擊常常和XSS攻擊配合起來做,但也可以通過其它手段,例如誘使用戶點擊一個包含攻擊的鏈接
目前國內有大量路由器存在 CSRF 漏洞,其中相當部分用戶使用默認的管理賬號。通過外鏈圖片,即可發起對路由器 DNS 配置的修改,這將成為國內互聯網最大的安全隱患。
案例:
百度旅游在富文本過濾時,未考慮標簽的 style 屬性,導致允許用戶自定義的 CSS。因此可以插入站外資源:
所有瀏覽該頁面的用戶,都能發起任意 URL 的請求:
由于站外服務器完全不受控制,攻擊者可以控制返回內容:
-
如果檢測到是管理員,或者外鏈檢查服務器,可以返回正常圖片;
-
如果是普通用戶,可以返回 302 重定向到其他 URL,發起 CSRF 攻擊。例如修改路由器 DNS
防范措施:
1. 杜絕用戶的一切外鏈資源。需要站外圖片,可以抓回后保存在站內服務器里。
2. 對于富文本內容,使用白名單策略,只允許特定的 CSS 屬性。
3. 盡可能開啟 Content Security Policy 配置,讓瀏覽器底層來實現站外資源的攔截。
4. 采用POST請求,增加攻擊的難度.用戶點擊一個鏈接就可以發起GET類型的請求。而POST請求相對比較難,攻擊者往往需要借助javascript才能實現
5. 對請求進行認證,確保該請求確實是用戶本人填寫表單并提交的,而不是第三者偽造的.具體可以在會話中增加token,確保看到信息和提交信息的是同一個人
三、Http Heads攻擊
HTTP協議在Response header和content之間,有一個空行,即兩組CRLF(0x0D 0A)字符。這個空行標志著headers的結束和content的開始。“聰明”的攻擊者可以利用這一點。只要攻擊者有辦法將任意字符“注入”到headers中,這種攻擊就可以發生
案例:
url:http://localhost/login?page=http%3A%2F%2Flocalhost%2Findex
當登錄成功以后,需要重定向回page參數所指定的頁面。下面是重定向發生時的response headers.
假如把URL修改一下,變成這個樣子:
http://localhost/login?page=http%3A%2F%2Flocalhost%2Fcheckout%0D%0A%0D%0A%3Cscript%3Ealert%28%27hello%27%29%3C%2Fscript%3E
這個頁面可能會意外地執行隱藏在URL中的javascript。類似的情況不僅發生在重定向(Location header)上,也有可能發生在其它headers中,如Set-Cookie header。這種攻擊如果成功的話,可以做很多事,例如:執行腳本、設置額外的cookie(<CRLF>Set-Cookie: evil=value)等。
避免這種攻擊的方法,就是過濾所有的response headers,除去header中出現的非法字符,尤其是CRLF。
四、Cookie攻擊
通過Java Script非常容易訪問到當前網站的cookie。你可以打開任何網站,然后在瀏覽器地址欄中輸入:javascript:alert(doucment.cookie),立刻就可以看到當前站點的cookie(如果有的話)。攻擊者可以利用這個特性來取得你的關鍵信息。例如,和XSS攻擊相配合,攻擊者在你的瀏覽器上執行特定的Java Script腳本,取得你的cookie。假設這個網站僅依賴cookie來驗證用戶身份,那么攻擊者就可以假冒你的身份來做一些事情。
現在多數瀏覽器都支持在cookie上打上HttpOnly的標記,凡有這個標志的cookie就無法通過Java Script來取得,如果能在關鍵cookie上打上這個標記,就會大大增強cookie的安全性
五、重定向攻擊
一種常用的攻擊手段是“釣魚”。釣魚攻擊者,通常會發送給受害者一個合法鏈接,當鏈接被點擊時,用戶被導向一個似是而非的非法網站,從而達到騙取用戶信任、竊取用戶資料的目的。
為防止這種行為,我們必須對所有的重定向操作進行審核,以避免重定向到一個危險的地方.
案例:
攻擊者發一個吸引用戶的帖子。當用戶進來時,引誘他們點擊超鏈接。
通常故意放少部分的圖片,或者是不會動的動畫,先讓用戶預覽一下。要是用戶想看完整的,就得點下面的超鏈接:
由于擴展名是 gif 等圖片格式,大多用戶就毫無顧慮的點了。
事實上,真正的類型是由服務器返回的 MIME 決定的。所以這個站外資源完全有可能是一個網頁:
當用戶停留在新頁面里看動畫時,隱匿其中的腳本已悄悄跳轉原頁面了。
用戶切回原頁面時,其實已在一個釣魚網站上:
在此之上,加些浮層登錄框等特效,很有可能釣到用戶的一些賬號信息。
對頁面中的用戶發布的超鏈接,監聽其點擊事件,阻止默認的彈窗行為,而是用 window.open 代替,并將返回窗體的 opener 設置為 null,即可避免第三方頁面篡改了。
釣魚網站常見解決方案是白名單,將合法的要重定向的url加到白名單中,非白名單上的域名重定向時拒之;
第二種解決方案是重定向token,在合法的url上加上token,重定向時進行驗證.
六、上傳文件攻擊
1.文件名攻擊
上傳的文件采用上傳之前的文件名,可能造成:客戶端和服務端字符碼不兼容,導致文件名亂碼問題;文件名包含腳本,從而造成攻擊.
2.文件后綴攻擊
上傳的文件的后綴可能是exe可執行程序,js腳本等文件,這些程序可能被執行于受害者的客戶端,甚至可能執行于服務器上.因此我們必須過濾文件名后綴,排除那些不被許可的文件名后綴.
3.文件內容攻擊
IE6有一個很嚴重的問題 , 它不信任服務器所發送的content type,而是自動根據文件內容來識別文件的類型,并根據所識別的類型來顯示或執行文件.如果上傳一個gif文件,在文件末尾放一段js攻擊腳本,就有可能被執行.這種攻擊,它的文件名和content type看起來都是合法的gif圖片,然而其內容卻包含腳本,這樣的攻擊無法用文件名過濾來排除,而是必須掃描其文件內容,才能識別。
感謝原博主們的技術分享~
參考鏈接:
http://www.myexception.cn/web/474892.html
http://fex.baidu.com/blog/2014/06/web-sec-2014/?qq-pf-to=pcqq.c2c
文章列表
留言列表
