摘要:防范措施轉(zhuǎn)義驗(yàn)證用戶輸入攻擊指跨域請求偽造���,這是一種近年來才逐漸被大眾了解的攻擊方式���。防范措施正確使用方法令牌效驗(yàn)其中令牌是比較常用的方法,具體做法是在表單提交中添加一些偽隨機(jī)數(shù)�����,即令牌�����,這里我們就不詳細(xì)展開�。
簡單總結(jié)一下日常web開發(fā)中會出現(xiàn)的一些安全問題,以Flask框架為例
注入攻擊(Injection)
注入攻擊主要包括系統(tǒng)命令注入,SQL注入����,NoSQL注入����,和ORM注入等,這里我們簡單介紹一下SQL注入
攻擊原理
在編寫SQL語句時�����,如果直接將用戶傳入的輸入作為參數(shù)使用字符串拼接的方式插入到SQL查詢中的話��,攻擊者則可以利用SQL語句篡改����,竊取數(shù)據(jù)庫的信息。
攻擊實(shí)例
@app.route("/student")
def get_table():
password = request.args.get("password")
cur = db.execute("SELECT * FROM students WHERE password="%s;"
% password)
results = cur.fetchall()
return results
如果攻擊者輸入的值為"or 1=1--"��,這意味著會返回students表中的所有數(shù)據(jù)���;或者輸入"; drop table users; --"���,會刪除students表中的所有數(shù)據(jù)。
主要防范方法
使用ORM
驗(yàn)證輸入類型
轉(zhuǎn)義特殊字符
XSS攻擊
XSS(Cross-Site Scripting)即跨站腳本攻擊,為了避免與CSS層疊樣式表產(chǎn)生命名沖突��,用X來表示Cross(交叉)
攻擊原理
XSS其實(shí)是注入攻擊的一種�����,通過將代碼注入被攻擊者的網(wǎng)站中�����,用戶一旦訪問便會執(zhí)行被注入的惡意腳本��。其中�����,XSS攻擊主要分為反射型XSS攻擊和存儲型XSS攻擊兩種��。
攻擊示例
反射型XSS攻擊
反射型XSS又稱為非持久型XSS����,當(dāng)某個站點(diǎn)存在XSS漏洞時,可以通過URL注入惡意腳本����,當(dāng)用戶訪問這個URL時�����,就會執(zhí)行攻擊腳本����。
@app.route("hello")
def hello():
name = request.args.get("name")
response = "Hello, %s
" % name
return response
如果用戶輸入一段javascript代碼���,如訪問http://example.com/hello/,客戶端介紹到響應(yīng)后�����,瀏覽器就會執(zhí)行這段代碼�����,當(dāng)然這個示例代碼不會構(gòu)成任何威脅���,但這意味著可以執(zhí)行任意的js代碼����,鬼知道攻擊者會做些什么���!
存儲型XSS攻擊
存儲型XSS也被稱為持久型XSS��,它和反射型XSS的行為類似���,不過會把植入的惡意代碼存儲到數(shù)據(jù)庫中����,如在留言區(qū)寫入一段重定向代碼�,這會導(dǎo)致用戶在訪問留言區(qū)頁面時被重定向到一些惡意站點(diǎn)。
防范措施
HTML轉(zhuǎn)義
驗(yàn)證用戶輸入
CSRF攻擊
CSRF(Cross Site Request Forgery)指跨域請求偽造����,這是一種近年來才逐漸被大眾了解的攻擊方式。
攻擊原理
攻擊者利用用戶在瀏覽器中保存的認(rèn)證信息�,向?qū)?yīng)的站點(diǎn)發(fā)送偽造請求。如用戶登錄了A網(wǎng)站��,認(rèn)證信息保存在cookie中�,當(dāng)用戶訪問惡意網(wǎng)站B時,攻擊者通過B網(wǎng)站發(fā)送一個偽造的請求提交到A網(wǎng)站服務(wù)器上����,這會讓A網(wǎng)站誤以為請求來自于自己的網(wǎng)站,從而可以讓攻擊者成功篡改某些信息�。
攻擊示例
假設(shè)服務(wù)器端刪除用戶賬戶的視圖操作為
@app.route("/account/delete")
def delete_account():
if not current_user.authenticated:
abort(401)
current_user.delete()
return "deleted!"
當(dāng)用戶登錄后�,只要訪問https://example.com/account/delete就會刪除賬戶��,那么在攻擊者的網(wǎng)站上�����,只要創(chuàng)建一個顯示圖片的img���,其中的src的屬性加入刪除賬戶的URL,當(dāng)用戶訪問B網(wǎng)站時���,瀏覽器解析網(wǎng)頁會自動向該鏈接發(fā)送請求���,此時你的登錄信息就保存在瀏覽器的cookie中,因此����,僅僅是訪問B網(wǎng)站就會導(dǎo)致刪除賬戶。
防范措施
正確使用HTTP方法
CSRF令牌效驗(yàn)
其中CSRF令牌是比較常用的方法���,具體做法是在表單提交中添加一些偽隨機(jī)數(shù)�,即CSRF令牌(token)����,這里我們就不詳細(xì)展開����。
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/43495.html
