如何防止web攻击

Posted 2023-04-11

参考技术A 高防
IP拉黑 参考技术B SQL注入攻击(SQL Injection)
攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。
常见的SQL注入式攻击过程类如：
1.某个Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码；
2.登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数；
例如：
$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;
3.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容；
4.用户输入的内容提交给服务器之后，服务器运行上面的代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：
SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'；
5.服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比；
6.由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。
如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。
系统环境不同，攻击者可能造成的损害也不同，这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表
防范方法：
1.检查变量数据类型和格式
2.过滤特殊符号
3.绑定变量，使用预编译语句

跨网站脚本攻击(Cross Site scripting, XSS)
攻击者将恶意代码注入到网页上，其他用户在加载网页时就会执行代码，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。这些恶意代码通常是javascript、HTML以及其他客户端脚本语言。
例如：
<?php
echo "欢迎您，".$_GET['name'];

常用的攻击手段有：
盗用cookie，获取敏感信息；
利用iframe、frame、xmlHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作；
利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动；
在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果。
防范方法：使用htmlspecialchars函数将特殊字符转换成HTML编码，过滤输出的变量

跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。
它与XSS的攻击方法不同，XSS利用漏洞影响站点内的用户，攻击目标是同一站点内的用户者，而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。
例如:
某个购物网站购买商品时，采用shop.com/buy.php?item=watch&num=100
item参数确定要购买什么物品，num参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接那么如果目标用户不小心访问以后，购买的数量就成了100个
防范方法：
1、检查网页的来源
2、检查内置的隐藏变量
3、使用POST，不要使用GET，处理变量也不要直接使用$_REQUEST

Session固定攻击(Session Fixation)
这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序。
例如:
1.攻击者访问网站bank.com，获取他自己的session id，如：SID=123；
2.攻击者给目标用户发送链接，并带上自己的session id，如：bank.com/?SID=123；
3.目标用户点击了bank.com/?SID=123，像往常一样，输入自己的用户名、密码登录到网站；
4.由于服务器的session id不改变，现在攻击者点击bank.com/?SID=123，他就拥有了目标用户的身份，可以为所欲为了。
防范方法：
1.定期更改session id
session_regenerate_id(TRUE);//删除旧的session文件，每次都会产生一个新的session id。默认false，保留旧的session
2.更改session的名称
session的默认名称是PHPSESSID，此变量会保存在cookie中，如果攻击者不抓包分析，就不能猜到这个名称，阻挡部分攻击[code]session_name("mysessionid");
复制代码
3.关闭透明化session id
透明化session id指当浏览器中的http请求没有使用cookie来制定session id时，sessioin id使用链接来传递
int_set("session.use_trans_sid", 0);
复制代码
4.只从cookie检查session id
int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id
复制代码
5.使用URL传递隐藏参数
$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据，但是无法得知$sid的值，只要检查sid的值，就可以确认当前页面是否是web程序自己调用的
Session劫持攻击(Session Hijacking)
会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。
攻击者获取目标用户session id的方法:
1.暴力破解:尝试各种session id，直到破解为止;
2.计算:如果session id使用非随机的方式产生，那么就有可能计算出来;
3.窃取:使用网络截获，xss攻击等方法获得
防范方法：
1.定期更改session id
2.更改session的名称
3.关闭透明化session id
4.设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。
文件上传漏洞攻击(File Upload Attack)
文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。
常用的攻击手段有：
上传Web脚本代码，Web容器解释执行上传的恶意脚本；
上传Flash跨域策略文件crossdomain.xml，修改访问权限(其他策略文件利用方式类似)；
上传病毒、木马文件，诱骗用户和管理员下载执行；
上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。
总的来说，利用的上传文件要么具备可执行能力(恶意代码)，要么具备影响服务器行为的能力(配置文件)。
防范方法：
1.文件上传的目录设置为不可执行；
2.判断文件类型，设置白名单。对于图片的处理，可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码；
3.使用随机数改写文件名和文件路径：一个是上传后无法访问；再来就是像shell.php.rar.rar和crossdomain.xml这种文件，都将因为重命名而无法攻击；
4.单独设置文件服务器的域名：由于浏览器同源策略的关系，一系列客户端攻击将失效，比如上传crossdomain.xml、上传包含javascript的XSS利用等问题将得到解决。本回答被提问者采纳

Web安全之防止XSS跨站脚本攻击

XSS攻击全称跨站脚本攻击（Cross-site scripting），为和CSS区别，改为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意的web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
XSS攻击的产生原因是对外部输入的参数没有做严格过滤，导致输入参数直接参与页面源代码，相当于页面源代码可以被外部修改，因此可能被改变页面结构、植入恶意脚本，可被用于钓鱼、盗取数据、篡改页面等。解决的方法是加强页面输出过滤或转义，如ESAPI的Encoder转义、自定义转义，或者采用不存在XSS风险的页面标签进行输出。

攻击分类

反射型XSS攻击

又称为非持久性跨站点脚本攻击。漏洞产生的原因是攻击者注入的数据反映在响应中。一个典型的非持久性XSS包含一个带XSS攻击向量的链接(即每次攻击需要用户的点击)。

例子

http://www.test.com/message.php?send=Hello,World

接收者将会接收信息显示Hello,World

http://www.test.com/message.php?send=<script>alert(‘foolish!’)</script>

接收者接收消息显示的时候将会弹出警告窗口显示foolish！

存储型XSS攻击

又称为持久型跨站点脚本，它一般发生在XSS攻击向量(一般指XSS攻击代码)存储在网站数据库，当一个页面被用户打开的时候执行。每当用户打开浏览器,脚本执行。持久的XSS相比非持久性XSS攻击危害性更大,因为每当用户打开页面，查看内容时脚本将自动执行。

例子

一个正常的表单,正常操作是用户提交相应留言信息；将数据存储到数据库；其他用户访问，应用查询数据并显示。

<input type=“text” name=“content” value=“这里是用户填写的数据”>

攻击者在value填写

<script>alert(‘foolish!’)</script>

或者其他攻击代码。将代码存储到数据库中；其他用户取出数据显示的时候，将会执行这些攻击性代码。

攻击入口

可以通过HTML节点、HTML属性、JavaScript代码、富文本等只要有用户输入信息的地方都可能是被攻击的注入点。

防范方法

需要将一些特殊字符进行转义处理。

• 通过前端对用户输入内容进行处理：

    var escapeHtml = function(str) {
    	str = str.replace(/</g,\'&lt;\');
    	str = str.replace(/</g,\'&gt;\');
    	return str;
    }
  

• 通过后台对用户输入内容进行处理：

    private String cleanXSS(String value) {
        //You\'ll need to remove the spaces from the html entities below
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\\\(", "&#40;").replaceAll("\\\\)", "&#41;");
        value = value.replaceAll("\'", "&#39;");
        value = value.replaceAll("eval\\\\((.*)\\\\)", "");
        value = value.replaceAll("[\\\\\\"\\\\\\\'][\\\\s]*javascript:(.*)[\\\\\\"\\\\\\\']", "\\"\\"");
        value = value.replaceAll("script", "");
        return value;
    }
  

• 后台使用第三方方法处理：添加commons-lang-2.5.jar 包，然后使用方法或者使用Spring框架中的HtmlUtils方法：

    StringEscapeUtils.escapeHtml(string); 
    StringEscapeUtils.escapeJavaScript(string); 
    StringEscapeUtils.escapeSql(string);
  

在父Controller里面进行处理：

@InitBinder
protected void initBinder(WebDataBinder binder) {
	// String类型转换，将所有传递进来的String进行HTML编码，防止XSS攻击
	binder.registerCustomEditor(String.class, new PropertyEditorSupport() {
		@Override
		public void setAsText(String text) {
			setValue(text == null ? null : StringEscapeUtils.escapeHtml4(text.trim()));
		}
		@Override
		public String getAsText() {
			Object value = getValue();
			return value != null ? value.toString() : "";
		}
	});
}

参考资料

1. XSS攻击原理分析与防御技术
2. XSS跨站脚步攻击
3. Web安全测试之XSS
4. Java防止XSS攻击方法