24

web攻击技术

我了解到的web安全方面的一些攻击有:
   XSS攻击
   CSRF攻击
   网络劫持攻击
   控制台注入代码
   钓鱼

XSS攻击(cross-site script)

1、XSS攻击形式:

主要是通过html标签注入,篡改网页,插入恶意的脚本,前端可能没有经过严格的校验直接就进到数据库,数据库又通过前端程序又回显到浏览器

例如一个留言板:
如果内容是
    hello!<script type="type/javascript src="恶意网址"></script>
 这样会通过前端代码来执行js脚本,如果这个恶意网址通过cookie获得了用户的私密信息,那么用户的信息就被盗了

2、攻击的目的:

攻击者可通过这种方式拿到用户的一些信息,例如cookie 获取敏感信息,甚至自己建网站,做一些非法的操作等;或者,拿到数据后以用户的身份进行勒索,发一下不好的信息等。

3、攻击防御

首先前端要对用户输入的信息进行过滤,可以用正则,通过替换标签的方式进行转码或解码
例如<> 空格 & '' ""等替换成html编码

  htmlEncodeByRegExp:function (str){  
       var s = "";
       if(str.length == 0) return "";
       s = str.replace(/&/g,"&amp;");
       s = s.replace(/</g,"&lt;");
       s = s.replace(/>/g,"&gt;");
       s = s.replace(/ /g,"&nbsp;");
      s = s.replace(/\'/g,"&#39;");
      s = s.replace(/\"/g,"&quot;");
      return s;  
 },
    
其次在java后端还要进行安全防御,具体可以看一下这个http://blog.csdn.net/qq_34120041/article/details/76890092

CSRF攻击(cross site request forgery,跨站请求伪造)

CSRF也是一种网络攻击方式,比起xss攻击,是另外一种更具危险性的攻击方式,xss是站点用户进行攻击,而csrf是通过伪装成站点用户进行攻击,而且防范的资源也少,难以防范

csrf攻击形式:攻击者盗用用户的身份信息,并以用户的名义进行发送恶意的请求等,例如发邮件,盗取账号等非法手段

例如:你登录网站,并在本地种下了cookie
     如果在没退出该网站的时候 不小心访问了恶意网站,而且这个网站需要你发一些请求等
     此时,你是携带cookie进行访问的,那么你的重在cookie里的信息就会被恶意网站捕捉到,那么你的信息就被盗用,导致一些不法分子做一些事情
     

攻击防御:
1、验证HTTP Referer字段

在HTTP头中有Referer字段,他记录该HTTP请求的来源地址,如果跳转的网站与来源地址相符,那就是合法的,如果不符则可能是csrf攻击,拒绝该请求

2、在请求地址中添加token并验证

这种的话在请求的时候加一个token,值可以是随机产生的一段数字,
token是存入数据库之后,后台返给客户端的,如果客户端再次登录的时候,
后台发现token没有,或者通过查询数据库不正确,那么就拒绝该请求

如果想防止一个账号避免在不同的机器上登录,那么我们就可以通过token来判断,
如果a机器登录后,我们就将用户的token从数据库清除,从新生成,
那么另外一台b机器在执行操作的时候,token就失效了,只能重新登录,这样就可以防止两台机器登同一账号

3、在HTTP头中自定义属性并验证

如果说通过每次请求的时候都得加token那么各个接口都得加很麻烦,
那么我们通过http的请求头来设置token
例如:
    $.ajax({
        url: '/v1/api',
        dataType: 'json',
        data: param,
        type:'post',
        headers: {'Accept':'application/json','Authorization':tokenValue}
        success:function(res){
            console.log(res)
        }
    })

网络劫持攻击

网络劫持攻击这种攻击主要是通过一些代理服务器,或者wifi等有中间件的网络请求,进行劫持,不法分子通过这种方式获取到用户的信息,那么我们该怎么防御呢?
最好是采用https进行加密,这种通过请求网络地址攻击的我们可以通过对http进行加密,来防范,这样不法分子即使或得到,也无法解密

控制台注入代码

这种就是不法分子通过各种提示诱骗用户在控制台做一些操作,从而获取用户信息,那么我们最好在控制台对用户进行友好的提示,必要轻易相信这种提示灯。

钓鱼

钓鱼!一个传统的攻击方式,也是通过人性的弱点来诱骗用户登录一些不法网站,我们要科学上网,不要被钓...

如果各位有什么好的前端安全方法,欢迎评论、私信、互相学习....


Cymiran
1.2k 声望134 粉丝

跨越七海的风...