Web开发安全

最新推荐文章于 2025-01-28 06:33:40 发布
原创 最新推荐文章于 2025-01-28 06:33:40 发布 · 2.8k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全 #前端 #https

Web开发安全

参加字节跳动的青训营时写的笔记。这部分是刘宇晨老师讲的课。

个人博客(欢迎光临)Web开发安全(赤蓝紫)

1. 攻击

1.1 跨站脚本攻击(XSS)

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。

如填写表单信息时,如果盲目相信用户的提交内容,那么假如用户填写了类似<script>alert("注入恶意代码")</script>的信息,然后直接通过element.innerHTML把用户提交的代码存起来的话,那么工具者就可以实现攻击了。

比较巧妙的攻击方式:

image-20220127180108501

XSS特点

  • 通常难以从UI上发现,因为是在暗地里执行脚本
  • 可以窃取用户信息(cookie、token)
  • 还可以绘制UI(如弹窗),诱骗用户点击

demo:

image-20220127173357726

1.1.1 Stored XSS

把恶意脚本存储在被攻击网站的数据库中。当其他人访问页面时,回去读数据,然后就会执行到数据库中的恶意脚本,从而被攻击。危害最大,对全部用户可见

1.1.2 Reflected XSS
  • 不涉及数据库
  • 从URL上进行攻击

image-20220127174047613

1.1.3 DOM-based XSS
  • 不需要服务器的参与
  • 恶意攻击的发起、执行,都在浏览器完成

image-20220127174625118

和Reflected XSS很像,不过,Reflected XSS的恶意脚本是注入到服务器中,而DOM-based XSS的恶意脚本是注入到浏览器中,而且攻击不需要服务器的参与

1.1.4 Mutation-based XSS
  • 利用浏览器渲染DOM的特性(独特优化)
  • 按浏览器进行攻击

2. 跨站伪造请求CSRF

CSRF攻击:在用户不知情的前提下,利用用户权限(cookie),构造HTTP请求,窃取或修改用户敏感信息。

image-20220127180459599

经典例子:银行转账

首先,a为了转账给b10000元,于是a登录银行页面进行转账操作, 还没有推出登录,又收到中奖通知链接(假的或者是只有小额鱼饵),a点击链接,并点击领奖按钮。然后发现钱被转走了100000元了。

CSRF攻击原理:利用cookie的自动携带特性,在其他网站向你的网站发送请求时,如果网站中的用户没有退出登录,而发送的请求又是一些敏感的操作请求(如转账),则会给用户带来巨大的损失。

3. 注入攻击injection

3.1 SQL注入

image-20220127202310672

demo

image-20220127202606829

4. Dos

通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而引起雪崩效应。

4.1 ReDoS

例子:上网找到了讲的非常好的文章

正则表达式所引发的DoS攻击(ReDoS)

4.2 Distributed DOS(DDoS)

短时间内,来自大量僵尸设备的请求,服务器不能及时响应全部请求,导致请求堆积,进而引发雪崩效应,无法响应新请求。

攻击特点:

  • 直接访问IP
  • 任意API
  • 消耗大量带宽(耗尽)

DDoS攻击 demo:SYN Flood

原理:TCP的三次握手

image-20220127205207771

如果客户端给服务器发送的ACK丢失的话,服务器不知道丢失,会等客户端的ACK,超时后重新发送SYN-ACK消息给客户端,直到重试超过一定次数才会放弃。

而SYN Flood就是通过发送大量的SYN,但是不给服务器发送ACK,从而耗尽服务器的资源。

image-20220127205705566

5. 中间人攻击

image-20220127205738271

2. 防御

2.1 XSS

方案:

  • 永远不信任用户的提交内容
  • 不把用户提交内容直接转换成DOM

现成工具:

  • 前端:
    • 主流框架默认防御XSS
    • google-closure-library
  • 服务端(Node):
    • DOMPurify

2.2 CSRF

2.2.1 同源政策

浏览器的同源政策:A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。(出自阮一峰的网络日志)

  • 协议相同
  • 域名相同
  • 端口相同

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。

image-20220127230913468

2.2.2 CSP

CSP(Content Security Policy):内容安全策略

  • 决定好哪些源(域名)是安全的
  • 来自安全源的脚本可以执行,否则直接报错
  • 对于eval / inline script 直接禁止

两种形式:

  • 服务器的响应头部:

    image-20220127232201451

  • 浏览器meta

    image-20220127232216808

2.2.3 CSRF防御(token)

image-20220127232639659

2.2.4 SameSite Cookie

避免用户信息被携带

下面的部分参考自Cookie 的 SameSite 属性

Cookie的SameSite属性用来限制第三方Cookie,从而减少安全风险。

可以设置成三个值:

  • Strict:最严格。完全禁止第三方Cookie,跨站点时,任何情况都不会发送Cookie

    Set-Cookie: CookieName=CookieValue; SameSite=Strict;

    用户体验不会很好。比如访问别人的项目网站时,有个fork me链接到github,然后点击跳转不会带有github的token,所以跳转过后,都会是未登录状态

  • Lax:大多数情况不发送第三方Cookie,但是导航到目标地址的GET请求会发送。

    Set-Cookie: CookieName=CookieValue; SameSite=Lax;

    导航到目标地址的GET请求:链接、预加载、GET表单

    image-20220127234433512

    设置了Strict或Lax之后,基本杜绝了CSRF攻击。

  • None:显示关闭SameSite属性。前提是需要同时设置Secure属性(Cookie只能通过HTTPS协议发送),否则无效

    Set-Cookie: widget_session=abc123; SameSite=None; Secure

    应用场景是依赖Cookie的第三方服务:如网站内嵌其他网站的播放器,开启SameSite属性后,就识别不了用户的登录态,也就发不了弹幕了

2.2.5 SameSite和CORS的区别

image-20220127235222723

2.3 Injection

image-20220127235528020

貌似是Java中的,我没用过,也不好说。不过查了下资料,prepareStatement对象防止sql注入的方式是把用户非法输入的单引号用\反斜杠做了转义,从而达到了防止sql注入的目的。

在SQL语句外做的防御

image-20220127235830052

2.4 Dos

2.4.1 ReDoS
  • Review代码
  • 代码扫描 + 正则性能测试
  • 拒绝使用用户提供的正则
2.4.2 DDoS

image-20220128000235944

2.5 防御中间人攻击

HTTPS防止中间人攻击

HTTPS 其实是SSL+HTTP的简称,当然现在SSL基本已经被TLS取代了

image-20220128000730701

HTTPS的一些特性

  • 可靠性:加密(非明文)
  • 完整性:MAC验证(防篡改),通过hash算法来实现,所以就算只有很小的改变,hash输出结果也会变化很大
  • 不可抵赖性:数字签名(确定身份)
安全开发规范手册.docx
08-05
1. 背景 4 2. 编码安全 4 2.1. 输入验证 4 2.1.1. 概述 5 2.1.2. 白名单 5 2.1.3. 黑名单 5 2.1.4. 规范化 5 2.1.5. 净化 5 2.1.6. 合法性校验 6 2.1.7. 防范SQL注入 6 2.1.8. 文件校验 6 2.1.9. 访问控制 6 2.2. 输出验证 6 2.2.1. 概述 6 2.2.2. 编码场景 6 2.2.3. 净化场景 7 2.3. SQL注入 7 2.3.1. 概述 7 2.3.2. 参数化处理 7 2.3.3. 最小化授权 7 2.3.4. 敏感数据加密 7 2.3.5. 禁止错误回显 8 2.4. XSS跨站 8 2.4.1. 输入校验 8 2.4.2. 输出编码 8 2.5. XML注入 8 2.5.1. 输入校验 8 2.5.2. 输出编码 8 2.6. CSRF跨站请求伪造 8 2.6.1. Token使用 9 2.6.2. 二次验证 9 2.6.3. Referer验证 9 3. 逻辑安全 9 3.1. 身份验证 9 3.1.1. 概述 9 3.1.2. 提交凭证 9 3.1.3. 错误提示 9 3.1.4. 异常处理 10 3.1.5. 二次验证 10 3.1.6. 多因子验证 10 3.2. 短信验证 10 3.2.1. 验证码生成 10 3.2.2. 验证码限制 10 3.2.3. 安全提示 11 3.2.4. 凭证校验 11 3.3. 图灵测试 11 3.3.1. 验证码生成 11 3.3.2. 验证码使用 11 3.3.3. 验证码校验 11 3.4. 密码管理 12 3.4.1. 密码设置 12 3.4.2. 密码存储 12 3.4.3. 密码修改 12 3.4.4. 密码找回 12 3.4.5. 密码使用 12 3.5. 会话安全 13 3.5.1. 防止会话劫持 13 3.5.2. 会话标识符安全 13 3.5.3. Cookie安全设置 13 3.5.4. 防止CSRF攻击 13 3.5.5. 会话有效期 14 3.5.6. 会话注销 14 3.6. 访问控制 14 3.6.1. 跨权访问 14 3.6.2. 控制方法 14 3.6.3. 控制管理 14 3.6.4. 接口管理 15 3.6.5. 权限变更 15 3.7. 文件上传安全 15 3.7.1. 身份校验 15 3.7.2. 合法性校验 15 3.7.3. 存储环境设置 15 3.7.4. 隐藏文件路径 16 3.7.5. 文件访问设置 16 3.8. 接口安全 16 3.8.1. 网络限制 16 3.8.2. 身份认证 16 3.8.3. 完整性校验 16 3.8.4. 合法性校验 16 3.8.5. 可用性要求 17 3.8.6. 异常处理 17 4. 数据安全 17 4.1. 敏感信息 17 4.1.1. 敏感信息传输 17 4.1.2. 客户端保存 17 4.1.3. 服务端保存 17 4.1.4. 敏感信息维护 18 4.1.5. 敏感信息展示 18 4.2. 日志规范 18 4.2.1. 记录原则 18 4.2.2. 事件类型 18 4.2.3. 事件要求 18 4.2.4. 日志保护 19 4.3. 异常处理 19 4.3.1. 容错机制 19 4.3.2. 自定义错误信息 19 4.3.3. 隐藏用户信息 19 4.3.4. 隐藏系统信息 19 4.3.5. 异常状态恢复 20 4.3.6. 通信安全 20
web开发中的网络安全
架构师吕师傅
09-22 1317
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
Web 安全基础教程:从零基础入门到精通
2301_77160226的博客
09-14 7677
Web 安全是指保护 Web 应用程序免受各种网络威胁,确保 Web 服务的保密性、完整性和可用性。在当今数字化时代,Web 应用广泛存在于各个领域,从电子商务到社交媒体,从企业内部系统到政府公共服务平台。Web 安全旨在防止恶意攻击者利用 Web 应用中的漏洞,窃取敏感信息、篡改数据或破坏服务。2.重要性对于企业而言,Web 安全关系到商业机密、客户信息的保护,一旦遭受攻击,可能面临巨大的经济损失、声誉损害和法律风险。
Web安全】一、认识常见的安全漏洞及渗透攻击环境准备
dzxdzx341224的博客
03-15 1054
Web应用程序安全学习实战
浅析ReDoS的原理实践
weixin_34150224的博客
10-18 1191
转载于http://www.freebuf.com/articles/network/124422.html ReDoS(Regular expression Denial of Service)正则表达式拒绝服务攻击。开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器...
Web常见安全问题
javagty6778的博客
02-22 409
可以保证通信双方传输数据的安全,这种方式避免服务器向客户端传输时数据泄露的现象,因为此时使用了不同的加密方法,但可恶的中间人依然有方法发起攻击,流程是。对称加密里最重要的是让通信双方都获得密钥,但这里密钥使用明文传输,密钥传输时就可能被中间人截获,最终造成数据泄露,有中间人攻击的流程是。传输的特点是明文传输,那在传输过程中传输信息可能会被黑客截获,重要的数据如用户名、密码就会泄露,这显然是不安全的。攻击(巨量请求)时,网站的服务器因其带宽和资源有限,无法处理这些需要响应的请求,导致服务器崩溃停止运作。
Web3 开发安全
最新发布
dt_dev的博客
01-28 844
Web3 开发安全性涉及智能合约、前端、区块链网络、用户隐私、存储和治理等多个方面。通过采用安全工具、遵循最佳实践和持续监控,可以有效降低风险,确保 DApp 的安全性和可靠性。
浅谈Python Web 安全开发
05-08 1551
1. Web安全基本原理 2. 安全开发实践 3.
Web 开发常见安全问题
2401_84092694的博客
05-15 1085
这个例子表明,如果只对尖括号进行 escape 是不够的,很多时候引号也需要被 escape。简单来说,对不同输出场景,需要使用不同的 escape 规则。
Web安全Web开发中常见的安全误区
HBohan的博客
09-26 239
安全Web应用程序不容忽视的一个重要因素,而在Web应用开发中,一些开发者由于缺乏安全方面的意识,导致Web应用存在风险。下面来介绍Web开发中常见的一些安全误区。 如果我们使用Web框架,那么不必担心安全问题 一些流行的框架比如Rails和 Django在编写之初已考虑到安全性问题,并帮助防止常见的漏洞问题。然而,它们并不能阻止业务逻辑出现的陷,比如设置产品数量为负数,这就可能给攻击者提供了机会。如果你以非常规的方式使用该框架,它们会努力去保护你,此外,许多安全功能需要由开发者手动实现。 我不是很..
web安全总结】遇到的各种web开发中常见的安全问题总结笔记
小鼠标的博客
07-27 1067
【1】密码问题 登录、注册、支付、等等用户输入的密码问题,隐私密码一定要特殊处理,,存入数据库的也需要进行相应的加密 【注册、登录为例】 注册时,如果需要输入验证码之类的,验证码只能使用一次。 注册的密码存库时需要进行加密,不能明文存储。 登录时,可采用检索用户名,查到一条包含用户名、密码的记录。对输入密码进行加密,检索出来的密码进行对比。 加密时也可以添加干扰内容,,可以添加固定前...
(2023版)零基础入门Web安全,收藏这一篇就够了
m0_74914256的博客
03-27 3579
Web安全是指保护Web应用程序、Web服务器和Web浏览器免受各种网络攻击和恶意行为的方法和技术。随着越来越多的业务和活动转移到互联网上,Web安全成为越来越重要的问题。
Web前端开发中的黑客技术以及安全技术(共七种)
wangluo12138的博客
11-30 2003
前端黑客如何操作,以及在公司我们如何保护好项目不受侵犯。
Web安全 - 如何开发一个安全的网站?
weixin_39805244的博客
10-10 2586
SQL注入
二十七、WEB 应用安全开发
jysf98746的博客
02-22 283
这么核心的东西在客户都是很容易查看的。虽然 JavaScript 可以混淆加密,但是最终他是需要被浏览器解析的,所以肯定是有一套固定的规范,黑客同样可以轻易解密。安全问题需要经验累积,软件开发作为一个团队协作的工作,大家经验水平不同,所以尽量在团队中分享安全开发的相关知识,技术 Leader 定期 Review 组员代码。黑客大部分利用的是软件的漏洞,所以我们要尽可能在开发的时候切断所有可能被利用的地方。重视安全最好的策略是将风险最大化,开发的时候要换位思考,如果我是黑客我是不是有办法绕过当前的限制。
第20章 软件开发安全
HeLLo_a119的博客
01-30 2077
软件开发安全
web开发安全
gentlezuo的博客
07-18 416
文章目录越权水平越权案例防御手段垂直越权XSS持久型攻击(持久型攻击)案例反射型攻击案例DOM型攻击防御手段XSRF服务请求伪造SQL注入命令注入文件上传 web开发安全问题 越权 越权是指操作主体能够访问逾越期权限的资源。比如A操作了B的订单,非管理者查看了管理者才能访问的数据。 越权可以分为水平越权和垂直越权。 水平越权 水平越权又被称之为数据越权,如上述所说的A操作了B的订单数据。 案例 如下所示,攻击者可以取消任意一个订单 cancelOrderByOrderId(String orderId){
安全开发应该注意哪些事?安全工程师说了6点【上】
Anprou的博客
06-26 2076
很多技术研发不了解安全,也不重视安全,只有在自己的服务器被黑掉、被挂马、被脱裤才想起关注安全,但是这个时候,技术架构已经成型、代码已经在线上稳定运行,再亡羊补牢,改代码、改策略,往往成本巨大、而收效很低;所以,开发安全,从娃娃抓起……
开发安全、软件供应链安全及开源软件安全的概念差异
laixiangmin的学习记录
03-06 1498
尽管这三个领域有各自独特之处,但它们都是构建一个综合健康且稳固系统所必不可少的一部分。综合考虑这些方面,并根据具体情况采取相应措施可以更好地保护您的系统免受潜在威胁。开发安全、软件供应链安全和开源软件安全是在软件生命周期中不同阶段涉及到的安全概念,它们有着一些共同点,同时也存在一些显著的差异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值