【Web安全】CSRF 攻击+XSS攻击+https

一、浅谈CSRF 攻击

其原理是攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。即https://xxxx.com/gift/send?target=someone&giftId=ab231

用户在登录状态下,就能给名为someone的用户赠送礼品ab231

不过有没有一种办法让用户只要看到即使不点击该网站也能自动送礼物给用户?

可以利用图片标签可添加链接属性的特征,将该url加入src=""里实现这种诱导,即:
<img src="https://xxxx.com/gift/send?target=someone&giftId=ab231" alt="">
但是礼物虽然小,但赠送都是有历史记录的,用户查看历史记录肯定会起疑心,能不能帮用户删除这条赠送记录呢?经过测试,发现删除赠送记录的接口地址:https://xxxx.com/gift/deleteRecord。其中,接口类型为post,请求参数为{ giftId:”ab231″}

构造一个可触发该删除赠送记录接口地址的表单页面

<form action = "https://xxxx.com/gift/deleteRecord" 
id="form" method="post" 
target="hiddenIframe">

</form> 

其中,用户请求的网址为:https://xxxx.com/gift/deleteRecord
这个请求被服务端接收后,会被误以为是用户合法的操作。对于 GET 形式的接口地址可轻易被攻击,对于POST形式的接口地址也不能保证百分百安全,攻击者可诱导用户进入带 Form 表单可用POST方式提交参数的页面。

设置以下代码触发跳转原始首页功能,

<script>
   document.getElementById('form').submit();
   location.href = "http://xxxx.com";
</script>

即跳转到http://xxxx.com,这样用户既在不知情的情况下赠送了礼品,又在不知情的情况下删除了赠送记录。

二、题外话

type=hidden隐藏域的作用,结合 CSRF 攻击来说明。

type=hidden隐藏域,作为校验该用户信息的一个隐藏值(判断标准)。当用户打开页面后是看不见type=hidden相应的值,填写用户信息之后点击提交时,用户信息的数据(包括type=hidden值)随即提交后台,打开后台则会展示代码type=hidden所写的相应元素属性值。后台校验type=hidden相应值如果是正确,即用户提交为安全。

埋点(保护的参数)——浏览器提交后台有该参数作为校验标准参考——若显示错值或无值,服务器也将不承认所提交的数据;若为正确值,则说明该用户获取权限,即为合法用户,可防止CSRF攻击

如图所示:
image

二、XSS攻击

XSS攻击需要注意的:

  • 所有用户输入的地方都不安全(任何数据不允许放在页面中任意设置)
  • 所有展示用户输入的地方都不安全
  • js 里不要用 eval(即把一个字符串在全局环境中当做js运行)
  • 不要用 innerHTML
    如何构造一个xss攻击
    js代码一旦执行会导致cookie的产生,所以只要用户提交的信息变成html去运行,就会造成XSS攻击

假设需要将一些评论进行渲染,那么可以创建一个dom节点,通过dom节点中的innerText将用户输入的信息提交上去,这样一来任何提交信息都会作为html展示在页面上,安全性大大提交

用eval方式解析服务器传来的json数据

三、https

1、还记得提交表单中涉及到的post和get的提交方式吗?

但从安全性上,只要是http请求都不安全

2、数据安全性体现在几个方面:

  • 我发的数据,不该看的人看不懂
  • 我发的数据,不该看的人不能伪造或者修改(修改后接收方可察觉)
  • 我发的数据,过期之后不该看的人不能偷偷拿过来继续用

3、https如何保证数据传输的安全?

几种数据加密的方式:

  • 对称加密 : 加密和解密数据使用同一个密钥。这种加密方式的优点是速度很快,常见对称加密的算法有 AES;
  • 非对称加密: 加密和解密使用不同的密钥,叫公钥和私钥。数据用公钥加密后必须用私钥解密,数据用私钥加密后必须用公钥解密。一般来说私钥自己保留好,把公钥公开给别人,让别人拿自己的公钥加密数据后发给自己,这样只有自己才能解密。 这种加密方式的特点是速度慢,CUP 开销大,常见非对称加密算法有 RSA;
  • Hash: hash 是把任意长度数据经过处理变成一个长度固定唯一的字符串(如将这篇文章也可加密成一个字符串),但任何人拿到这个字符串无法反向解密成原始数据(解开你就是密码学专家了),Hash 常用来验证数据的完整性。常见 Hash 算法有 MD5(已经不安全了)、SHA1、SHA256

比如将登录注册的信息通过Hash算法中的SHA1、SHA256进行加密保存在数据库中

4、https原理

浏览器将用户信息加密(AES加密),此时如果只是浏览器和服务器进行数据交流,则可以通过对称加密的形式。服务器发送公钥,浏览器得到公钥后会生成一个对称加密AES的密钥,浏览器加密后的密钥发给服务器,收到后用服务器的私钥解密,得到浏览器和服务器约定好的对称加密密钥,然后二者用这个只有二者知道的对称密钥加密数据进行交流

假如中间人提供假公钥对浏览器进行攻击。

此时为了中间人破坏,可以采用服务器的公钥信息和公证人背书做成一个信用证书,通过hash(sh256)处理之后,用公证人的私钥进行加密,生成一个信用证书。
浏览器得到信用证书后,先用公证人的公钥对证书上被公证人私钥加密后的字段进行解密,得到元素数据的 Hash。浏览器 再对元素数据进行 Hash和刚刚解密的 Hash 进行比对。如果比对成功表示证书上的信息无误,且是由公证人担保的。这时候浏览器确信证书上的公钥就是服务器的。

即申请https的时候就需要进行信息补充(公司名称、域名),申请后会给你生成证书

若不知道公证人的公钥申请https则造成无人担保的局面,即用https打开页面时会造成一个不安全的私密链接。如12306网站就是实例。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350

推荐阅读更多精彩内容