前端安全漏洞与防范思维脑图
2020-09-16 11:17:29 0 举报AI智能生成
前端安全漏洞与防范思维脑图
作者其他创作
大纲/内容
OS命令注入
实施
OS命令注入是针对操作系统
通过Web应用,执行非法的操作系统命令达到攻击的目的比如脚本
只要在能调用Shell函数的地方就有存在 被攻击的风险
倘若调用Shell时存在疏漏,就可以执行插入的非法命令。
危害
通过脚本执行一些非法的操作比如rm -rf或者下载一些恶意的软件等
防御
请求劫持
DNS劫持
顾名思义,DNS服务器(DNS解析各个步骤)被篡改,修改了域名解析的结果,使得访问到的不是预期的
ip
ip
HTTP劫持
运营商劫持,此时大概只能升级HTTPS了
DDOS
DDOS 不是一种攻击,而是一大类攻击的总称。它有几十种类型
cc攻击
SYN Flood
HTTP Flood
防御
备份网站
HTTP 请求的拦截 高防IP -靠谱的运营商 多个 Docker,硬件 服务器 防火墙
带宽扩容 + CDN
XSS--Cross Site Scripting跨站脚本攻击
攻击类型
反射型 - url参数直接注入
存储型 - 存储到DB后读取时注入
危害--Scripting能干啥就能干啥
获取页面数据
获取Cookies
劫持前端逻辑
发送请求
偷取网站的任意数据
偷取用户的秘密和登录态
显示伪造的文章或图片欺骗用户
防御
ejs转义
HEAD在请求头设置X-XSS-Protection过滤xss攻击
CSP---Content Security Policy内容安全策略
Content-Security-Policy: default-src 'self'
Content-Security-Policy: img-src https:
Content-Security-Policy: child-src 'none'
转义字符--转义输入输出的内容
黑名单--利用xss库
HttpOnly Cookie预防XSS攻击窃取用户cookie最有效的防御手段
CSRF--Cross Site Request Forgery跨站请求伪造
实施
用户已经登录了站点 A,并在本地记录了 cookie
在用户没有登出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱 危险站点 B (B 站点要求访问站点A)。
站点 A 没有做任何 CSRF 防御
危害
利用用户登录态
用户完全不知情
完成业务请求
盗取用户资金(转账,消费)
冒充用户发帖背锅
防御
禁止第三方网站带Cookie - 有兼容性问题
Referer Check - Https不发送referer
验证码(最有效)
clickjacking--点击劫持
实施
通过 iframe 嵌套的方式嵌入自己
的网页中
的网页中
并将 iframe 设置为透明
页面中透出一个按钮诱导用户点击
危害
用户完全不知情
form表单的action指向正常的网站
进行form表单的提交等
防御
X-FRAME-OPTIONS,在响应头设置防御iframe嵌套点击劫持
X-FRAME-OPTIONS,在响应头设置防御iframe嵌套点击劫持
DENY表示页面不允许通过 iframe 的方式展示
SAMEORIGIN,表示页面可以在相同域名下通过 iframe 的方式展示
ALLOW-FROM,表示页面可以在指定来源的 iframe 中展示
JS方式当通过 iframe 的方式加载页面时,攻击者的网页直接不显示所有内容了
SQL注入
实施
填入特殊密码比如1'or'1'='1
危害
判断登录的时候aql查询方式特殊输入伪造用户登录
登录后恶意篡改网站重要信息
防御
所有的查询语句建议使用数据库提供的参数化查询接口**
参数化的语句使用参数而不是将用户 输入变量嵌入到 SQL 语句中
即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。
收藏
收藏
0 条评论
下一页
