web安全之XSS和CSRF
WEB安全方向
一、浏览器安全
1. 同源策略:
- host(域名或IP地址)
- 子域名
- 端口
- 协议
非同源影响:document.cookie访问,缓存访问,DOM操作
SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。2.浏览器沙箱安全机制
WebKit 中并没有提供沙箱机制的支持,是 Chromium 支持沙箱的实现方式。
概念:
Chromium 是以多进程为基础的,网页的渲染在一个独立的 Renderer 进程中进行,这为实现沙箱模型提供了基础,因为可以相对容易地使用一些技术将整个网页的渲染过程放在一个受限的进程中来完成,受限环境只能被某些或者很少的系统调用而且不能直接访问用户数据。而沙箱模型工作的基本单位就是 进程。如果有一种机制,将网页运行限制在一个特定的环境中,也就是一个沙箱中,使它只能访问有限的功能。 那么,即使网页工作的渲染引擎被攻击,它也不能够获取渲染引擎工作的主机系统中的任何权限,这一思想就是沙箱模型。二. XSS(跨站脚本攻击)
1. 简介
XSS 全称是 Cross Site Scripting,其含义是 执行跨域的 JavaScript 脚本代码。
反射性XSS(多半于后端处理):把用户输入的数据“反射”给浏览器;
存储型XSS(多半于后端处理):会把用户输入的数据“存储”在服务端;
DOM Based XSS(前端处理):修改DOM节点形成的XSS,使用decodeURIComponent赋值给InnerHTML
2. xss防御
认证cookie,带HttpOnly,浏览器Set-Cookie
输入输出检查,进行特殊符号编码
富文本处理:iframe,script,base,form,使用白名单处理
三. CSRF(跨站点请求伪造)
简介:攻击者诱使用户访问一个恶意网址,并以该用户身份在第三方站点里执行一次操作
1. CSRF进阶
浏览器的cookie策略
Session Cookie
Third-party Cookie:IE、Safari禁止发送,FireFox、Opera、Chrome、Andriod允许
2. P3P头的副作用(Platform for Privacy Preferences)
P3P头是W3C制定的一项关于隐私的标准,如果网站返给浏览器的HTTP头中包含P3P头,将允许浏览器发送第三方Cookie
3. GET和POST,提交表单,服务器端需要做白名单处理
4. CSRF防御
Anti CSRF Token,在post提交表单时,服务器端对请求进行校验(验证码校验,token随机值)
验证码:强制用户必须与应用进行交互
四. 网络攻击
1. DNS劫持(服务器请求拦截,勾结第三方运营商在IP做了手脚,但成本高)
2. http内容劫持(弹出其他广告), 防御:https(https加密,现处理方式,但服务器被攻击或者是运营商工作人员问题也是防御不了)
a. HTTPS 是在 HTTP 协议之上使用 SSL(Secure Socket Layer) 技术来对传输的数据进行加密,从而保证了数据的安全性。
3. DDOS分布式拒绝服务攻击:利用合理的请求,造成资源过载,导致服务器不可用。
a. DDOS常见攻击三种:
SYN flood攻击:针对网络tcp三次握手;
CC:应用层攻击,针对消耗比较大的接口进行不断请求(比如对redis请求接口问题);
lowloris: 服务器只能处理1000多个请求,这时候伪造1000多个请求,导致用户无法进入服务。
b. DDOS防御常见处理:流量处理,IP+cookie限制频率,CDN分流,请求较大的处理。
4. 短信轰炸:伪造一批手机号(加验证码处理)
