1.CSRF
2.XSS基本概念
攻击原理
防御措施
CSRF
-
CSRF基本概念
CSRF通常称为跨站请求伪造,英文名 Cross-site request forgery
-
CSRF攻击原理
用户--------->访问-------------------->网站A
用户<---------下发cookie<-----------网站A
用户--------->访问----------->网站B
用户<---------引诱点击<-----------网站B
用户--------->访问-------------------->网站A
前提:
1.网站中某一借口存在漏洞
2.用户在注册网站时登录过
CSRF防御措施
1.Token验证
2.Referer验证---->页面来源
3.隐藏令牌
区别:
- XSS向页面注入JS,在JS函数体做他想做的事
- CSRF利用本身漏洞,帮你自动执行那些借口,依赖于用户登录网站
XSS
http://www.freebuf.com/articles/web/40520.html
http://www.imooc.com/learn/812
-
XSS基本概念
XSS 跨域脚本攻击,英文名 cross-site scripting
XSS攻击方式
1.反射型
2.存储型
攻击手段:
1.盗用cookie,获取一些敏感信息。
2.破坏正常的页面结构,出入一些恶心内容。
3.利用植入flash(flash现在不常用,了解一下就好)。
4.实现分布式拒绝服务攻击(D-DOS攻击)(最难以防御)。
5.server-limit-dos:当HttpRequestHeader过长的时候,WebServer会产生400或者4开头的错误,如果这些超长的数据保存到cookie中,能让用户每次访问的时候造成http超长,会导致一些用户无法访问服务器。
*DOS:最基本的DOS是利用合理的客户端请求来占用过多的服务器资源,从而使合法用户无法得到服务器的响应。
*D-DOS:D-DOS攻击手段就是在传统的DOS之上产生的一类攻击方式。
反射性:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器解析后响应,XSS代码随响应内容一起传回浏览器,最后浏览器解析XSS代码,这个过程像一次反射,故成反射性XSS。
1.明文的
2.有些参数是通过search传入的,服务器要解析search,而这个search的value部分就是XSS代码,从而导致服务端把攻击脚本做了解析。
3.服务端解析了XSS代码,然后下发给浏览器,下发的通常都是javascript,浏览器在解析DOM树的时候遇到这段代码会一并解析。
示例:
//服务端(node):
router.get('/',function(req,res,next){
res.render('index',{title:'Express',xss:req.query.xss})
})
//视图层
<div>
<%- xss %>
//=和-的区别:要不要对html进行转义,如果允许输出html这里不需要转义,就用-
</div>
//url
localhost:3000/?xss=这里可以写xss攻击的内容
//比如
localhost:3000/?xss=
//写完的img会加入到页面中,因为img的src为null,应该自动执行onerror,
//浏览器会自动帮你拦截,如果把浏览器的拦截关掉的话,会发生什么
//在服务端关闭拦截:
router.get('/',function(req,res,next){
res.set('X-XSS-Protection',0);//关掉浏览器拦截xss
res.render('index',{title:'Express',xss:req.query.xss})
})
//此时会成功执行
- xss脚本在url中
- 服务端要解析url的字段
?xss=//自动触发img src为null 上面有个onerror属性
?xss=<p onclick="alert('1')">点我</p>//引诱触发
?xss=<iframe src="www.baidu.com"></iframe>//页面中会嵌入一个页面,能实现各种广告的植入
存储型:存储型XSS和反射性XSS的差别在于,提交的代码会存储在服务端(数据库,内存,文件系统等),下次请求目标页面时不用再提交xss代码。(反射性是存储在url中)
//服务端(node):
router.get('/',function(req,res,next){
res.render('index',{title:'Express',xss:sql()})
//通过读缓存,读数据库,最后返回,这里的来源不一样,后面的都和反射性一样
})
存储型的攻击脚本是怎么到达服务端的存储系统里的?
XSS防范措施
1.编码
2.过滤
3.矫正
- 不能对所用用户的输入保持原样
- 在原样显示用户内容时,要过滤
- 破坏页面结构则通过矫正
编码:对用户输入的数据进行HTML Entity编码
过滤:
1.移除用户上传的DOM属性,如onerror等(最好移除所有DOM事件属性)
2.移除用户上传的Style节点,Script节点,Iframe节点等。
矫正:
1.避免直接对HTML Entity解码
2.使用DOM Parse转换,矫正不配对的DOM标签
- 如果直接解码,那么过滤意义就不大了
- DOM Parse把整个文本解析成DOM对象
