2018-08-25 10:03:27

什么是CSRF攻击、什么是XSS攻击、什么是SQL输入攻击,如何防御攻击


什么是CSRF攻击、什么是XSS攻击、什么是SQL输入攻击,如何防御攻击

在工作中和站长圈混迹多年以后,对安全方面也略知一二,很多同学拿到安全测试报告以后一脸懵逼的不知道这些缩写字母都是什么意思,如何修复,今天就面向无安全基础的同学大概讲一讲这三类攻击是如何形成的,知道他的原理以后,就可以进行防御了。因为每个同学所使用的编程语言和框架都大不相同,所以本次介绍主要介绍攻击形成的原理和防御方法,那么具体的代码就会很少,得同学们根据自己的实际情况去写代码实现了。


什么是CSRF攻击

先说一下这个单词:CSRF(Cross-site request forgery)跨站请求伪造,这个词还是听不明白,不要着急,我们先讲一个故事,一个真实的故事。那是在2009年的时候,一个黑客利用CSRF通过Gmail成功的攻击窃取了好莱坞明星Vanessa Hudgens的邮箱,攻击非常简单,就给她发了一封邮件,内容就是一个图片,不过这个图片有点特殊,是这样写的:<img src="https://mail.google.com/mail?ui=2&fw=true&fwe=my@email.com">,当用户点击邮件加载图片的时候,其实就访问了这样一个链接:https://mail.google.com/mail?ui=2&fw=true&fwe=my@email.com,而这个链接的功能就是Gmail设置邮件转发,所以目标邮箱的所有邮件都转发到了黑客指定的邮箱中。这类例子很多,只要构造出正确的Get链接,并让浏览器去发送Get请求就能做到,因为用户已经登陆了所以会携带这正确的Cookie,直接访问链接就能实现相关功能。

知道原理以后,如何破解黑客的攻击呢?解决方案就是在表单里增加一个字段Token,黑客是无法猜到一直在变化的Token的,所以即使你增加一个UUID的Token,保存到服务器Session中,黑客也无法猜解这个随机的Token,就无法构造出能实现功能的链接了。

什么是XSS攻击

先说这个词,其实是CSS(Cross Site Scripting),但是跟CSS样式重名了,所以起名叫XSS,跨站脚本攻击跟上面说的CSRF比较像,其实原理就是向网页上注入一段 JavaScript 代码,然后其他用户访问页面的时候就会运行黑客写好的JS代码,实现一些账户控制,比较经典的故事有:2011年6月28日新浪微博被XSS攻击,大量用户自动转发微博、私信、自动关注用户,大量用户被莫名其妙的控制。因为JS代码可以代替用户点击按钮发送请求,所以危害非常大。

反射型XSS攻击:比较常见的是搜索模块,例如:https://www.neilren.com/Search?wd=攻击,这个搜索链接正常的时候,wd参数应该传入搜索词,然后在页面上会显示当前的搜索词,那就可以利用这个入口传入一些不一样的数据,例如我改成这样:https://www.neilren.com/Search?wd=</h1><script>alert(1)</script><h1>,页面上就会被注入一个JS代码,同理也可以在用户无感知的情况下插入一个跨站点的其他站点js文件,从而实现控制用户和窃取Cookie等操作,但这样的链接必须让用户点击才会中招,并不会让所有用户中招。

/865480c9ce4d4d1fb8fc6f9c29905c9d.png

/00b2cfe32c1947a48ff16cb5eb50fc54.png

/bbf0288c82944dcebd7d2dff9cbc0123.png

存储型XSS攻击:上一个反射型XSS攻击只能给部分点击链接的用户造成攻击,那存储型XSS就是给所有用户都可能带来攻击,比较经典的是用户签名栏,这个地方允许用户自定义内容,会存储到数据库中,当其他用户浏览到他的时候就会被从数据库中加载出来,如果这个恶意用户在自己的签名栏中注入了一个js引用,那所有浏览到他的人都会被js控制,存储型XSS的危害可能危害全站用户,非常危险。

知道原理了以后,如何破解黑客的攻击呢?方法有很多,例如:关键字判断当存在script、src等关键字的时候进行替换破坏;还有就是在返回内容时进行转码,把尖括号转码成Unicode编码的格式,例如下面的截图:

什么是SQL注入攻击

SQL注入是很老的漏洞了,现在已经不常见了,稍微有经验的人就可以避免被SQL注入的风险,先来看个经典案例:用户登录的时候经常会这样写 

String sql = "select * from user where username = '" + userName "'' and passwd = '" +userPassword + "'";

正常情况下会拼出:select * from user where username = 'admin' and passwd = 'mima',但是不巧的是黑客也会写SQL语句,黑客在输入用户名和密码的时候是这样输入的:用户名为 admin‘ or 1=1 -- ,密码为 空,那这个时候拼接出来的SQL是:

select * from user where username = 'admin' or 1=1 -- ' and passwd = ''

看出了什么?1=1是永远成立的,后面的 -- 会将后面的SQL注释掉,admin 这个用户就被成功登陆了,原理就是这么简单。

知道原理以后,如何破解黑客的注入攻击呢?最常用的是在业务逻辑层进行关键字检查,如果包含SQL的关键字,例如 *、or、select、delete 等等关键字就进行替换;最最有效的还是使用SQL变量去查询,避免使用字符串去拼接SQL字符串。


商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://www.renfei.net/posts/1003279
评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。

本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!


本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!

关注任霏博客
扫码关注「任霏博客」微信订阅号
微博:任霏博客网
Twitter:@renfeii
Facebook:任霏
最新留言 这个恶意攻击是只有服务器安装有Redis 才会遭受攻击吗 我用电脑和手机分别访问了45,133,203,192 这个ip地址,这个ip地址对应的服务器是不是只托管了脚本,提供木马自动去下载,并没有任何攻击性的东西,是这样的吗? 你好,我这边想问下,镜像服务启动了,该连接哪个数据库呢? 不更新? 优先级低的并不代表一定要等到优先级高的运行完才能运行,只是cpu分配的资源少了而已。 /lib64/ld-linux-x86-64.so.2: No such file or directory 报了这个错误,怎么解决呢 对于一个布道 DevOps 多年的选手来讲,看到这个报告,还是想继续布道布道。虽然是各种对比哈,但是我感觉与 DevOps 太像了(可能是职业病犯了哈)。首先声明本人不是GitLab 用户(因为不免费,没法薅羊毛啊),本人是 GitHub 忠实用户。 首先,你这是田忌赛马的对比,中文对比一事,着实有点可笑 1 土生土长和外来户能立马拉到同一个起跑线上吗? 2 一个真正的开发者应该去提升自己的英语能力,而不是拿全部是中文文档说事。大家都知道现在开源非常热,开发者是开源的主力军,如果要贡献优秀的开源项目(诸如Linux 内核,Kubernetes),英语就是个硬门槛。如果我是你,我倒希望公司内部的系统是英文的,最起码能让我锻炼英语,在看开源项目文档的时候不至于看不懂,提 PR 的时候不至于提交代码的内容描述不清楚而没法被 Merge。 其次,阿里云效、Coding 大家都知道背后站的是谁,很容易造成厂商绑定,现在很多企业都希望不要被厂商绑定。 再者,有一个点需要明白,GitLab 是一个 DevOps 平台,什么叫做 DevOps 平台(DevOps 走到现在,确切的说应该叫做 DevSecOps)?就是覆盖了软件开发生命周期全阶段的,从项目管理到代码托管到安全再到日志监控、甚至包含现在的云原生能力。不仅仅是说一个 CI/CD 就能概括的了的。这一点是 DevOps 布道的真正误区,我见过太多了,我在这儿再布道一哈,CI/CD 不等于 DevOps,他只是 DevOps 落地实践的核心能力。仅凭借一个 CI/CD 能有现成模版就判断出哪个好坏,过于牵强了吧。相信大家真正到项目用的时候,模版是满足不了要求的吧,毕竟大家都很特性化。 最后,还是一个很热的话题,开源,open source。GitLab 是开源的,Coding 和 云效这方面我没看到相关的开源内容(可能是我孤陋寡闻)。大家可以看看国内有多少用 GitLb 的,GitLab 的 CE 版,然后私有化部署,就是很多公司的代码托管 + DevOps 解决方案。 个人愚见,做一些对比报告的时候,还是先需要明白这个产品的定位,去深入挖掘一些真正有意义的对比,这样的对比报告才能有意义。作为一个常年写博客、文章的人来说。你写的每个字、每篇文章,你要想到你的思想会影响到别人。有可能因为你的片面之词,让别人错失一些学习的好机会。 docker run 那一长串后,出来一个字符串,然后去 docker containers 下面看 显示 exited(1);logs 下就一行错误 initdb failed 感谢🙏,第一个问题是空格的问题应该,我逐字敲完后可以构建了.第二个问题是我docker环境的问题,docker更新为最新版后需要重置配置文件.现已经正常使用,再次感谢您的分享和您的细心解答,期待下次相遇😄 还有一个问题可以请教下吗?就是我在容器里建文件夹没有权限,su root后密码不知道是多少,sudo mkdir xxx 提示我,没有sudo命令,请问有好的解决方法吗?谢谢解答 -v 后面可以指定文件吗 我的也是报错,还有。我执行了这个:@localhost kingbase-es-v8-r3-docker % docker run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /opt/kingbase/data:/opt/kingbase/data -v /opt/kingbase:/opt/kingbase/Server/bin kingbase:v8r3 docker: 'run -d --name kingbase -p 54321:54321 -e SYSTEM_PWD=SYSTEM -v /opt/kingbase/data:/opt/kingbase/data -v /opt/kingbase:/opt/kingbase/Server/bin kingbase:v8r3' is not a docker command. See 'docker --help' 麻烦帮忙看下,是不是我写的命令有问题,还是版本问题,谢谢啦