WEB开发的安全之旅

原创 已于 2023-11-24 10:03:34 修改 · 721 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #安全 #javascript #xss #网络攻防

于 2022-01-28 11:01:14 首次发布

WEB开发的安全之旅

1、假如你是一个hacker–攻击

Cross-Site Scripting(XSS)

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。

XSS主要利用了:

  • 盲目信任用户提交的内容
  • sring->DOM
  • document.wirte
  • element.innerHTML = anyString
  • SSR(user_data) //伪代码

特点

  • 通常难以从 UI 上感知(暗地里执行脚本)
  • 窃取用户的信息(cookie/token)
  • 绘制UI(例如弹窗),诱骗用户点击/填写表单

在这里插入图片描述

在这里插入图片描述
类型:

  • Stored XSS

在这里插入图片描述

  • Reflected XSS

    • 不涉及数据库
    • 从URL上攻击
      在这里插入图片描述

  • DOM-based XSS

    • 不需要服务器的参与
    • 恶意攻击的发起 + 执行,全在浏览器完成
      在这里插入图片描述

  • Mutation-based XSS

    • 利用了浏览器渲染DOM的特性
    • 不同浏览器,会有区别(按照浏览器进行攻击)


在这里插入图片描述

Cross-site request forgert(CSRF)

  • 在用户不知情的前提下
  • 利用用户权限(cookie)
  • 构造指定 HTTP 请求,窃取或者修改用户敏感信息

在这里插入图片描述

SQL injection

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
SSRF injection在这里插入图片描述

Denial of Service(Dos)

通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求被挤压,进而雪崩效应。

正则表达式–贪婪模式
在这里插入图片描述
在这里插入图片描述

Distributed DoS(DDoS)

短时间内,基于大量僵尸设备的请求流量,服务器不能及时完成全部请求,导致请求堆积,进而雪崩效应,无法响应新请求。

特点:

  • 直接访问IP
  • 任意API
  • 消耗大量带宽(耗尽)

在这里插入图片描述

基于传输层–中间人攻击

  • 明文传输
  • 信息篡改不可知
  • 对方身份未认证

在这里插入图片描述

2、假如你是一个开发者–防御

XSS

原则

  • 永远不要相信用户提交的任何类容
  • 不要将用户提交内容直接转化成dom

现成工具

  • 前端
    • 主流框架默认防御XSS
    • google-closure-library
  • 服务端(node)
    • DOMPurify

注意

  • string->DOM
    在这里插入图片描述

  • 上次svg(以为里面可以插入script标签)
    在这里插入图片描述

  • 自定义跳转链接
    在这里插入图片描述

  • 自定义样式
    在这里插入图片描述
    在这里插入图片描述

Conten Security Policy(CSP)

  • 拿些源被认为是安全的

  • 来自安全源的脚本可以执行,否则直接抛出错误

  • 对eval + inline script直接拒绝
    在这里插入图片描述

CSRF的防御

在这里插入图片描述
token
在这里插入图片描述
在这里插入图片描述
iframe攻击
在这里插入图片描述

anti-pattern
在这里插入图片描述

SameSite Cookie
在这里插入图片描述
在这里插入图片描述
对比SameSite vs CORS

  • SameSite
    • cookie发送
    • domain vs 页面域名
  • CORS
    • 资源读写
    • 资源域名 vs 页面域名
    • 白名单

inject

  • 找到项目中查询SQL的地方
  • 使用 prepared statement
    原则
  • 最小权限原则
    • sudo || root
  • 建立允许白名单 + 过滤
    • rm
  • 对URL类型参数进行协议、域名、ip等限制
    • 访问内网
      Regex Dos
      不要写出贪婪匹配的方式,特别处理接口的的地方
      拒绝使用用户提供的正则表达式

DDos

  • 流量治理
    • 负载均衡
    • API网关
    • CDN
  • 快速自动扩容
  • 非核心服务降级

传输层–防御中间人

HTTPS

  • 可靠性:加密
  • 完整性:MAC验证
  • 不可抵赖性:数字签名

在这里插入图片描述
在这里插入图片描述
完整性
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
成也证书,败也证书,当签名算法不够健壮时,签名算法被暴力破解!

HTTP Strict-Transport-Security(HSTS)

在这里插入图片描述

Subresource Integrity( SRI)

在这里插入图片描述
在这里插入图片描述

扩展

在这里插入图片描述

总结

  • 安全无小事
  • 使用的依赖(npm package,设置是nodejs)可能会成为最薄弱的一环
    • left-pad事件
    • eslint-scope事件
    • event-stream事件
  • 保持学习心态
Burp Suite 全面解析:开启你的 Web 安全测试之旅
2401_87640455的博客
12-02 1610
Burp Suite 是一款广受欢迎且功能强大的 Web 应用安全测试工具,专为安全从业者、渗透测试人员以及安全研究者设计。它由多个紧密协作的模块组成,旨在帮助用户全面分析目标 Web 应用的安全性,识别潜在漏洞。无论是小型网站还是复杂的大型企业级 Web 系统,Burp Suite 都能高效地发挥作用,提供深度的安全分析。作为一个集成化平台,Burp Suite 使得安全测试人员能够一站式地完成从漏洞发现到攻击验证的整个流程。
精选资源
Java Web开发:从入门到实战的技术之旅.zip
04-25
本书籍《Java Web开发:从入门到实战的技术之旅.zip》为读者提供了一个系统学习和深入探索Java Web开发知识的平台,旨在引导初学者一步步深入,直至达到实战级别的应用开发。 在本书的开篇,首先会对Java Web开发的...
web安全之路
weixin_34087307的博客
10-11 134
为工作室萌新所作。记得以前刚学习安全时,醉心于技术,但却是一直学习不得法,当时我们那批人不懂计算机原理,不懂编程,只是粗浅理解一些网络,加之安全也很难内容庞杂,不知到该学哪些,学完之后会有什么效果,遇到了很多问题,就这麽在黑暗中摸索了大半年,最后才有所得,到底浪费了太多时间。 所以我不希望你们向我们当初一样,为此我总结了一下,有了下面一篇文章,文章中涉及很多的重要的知识只粗略的点了一下,但就算是...
web 网络安全知识
瓦罗兰特顶级C位的博客
02-28 2075
前言:公司最近严抓网安,使用安全工具扫描项目发现了一下一些关于网安的问题
appscan前端安全漏洞修复————持续记录
wsx981049288的博客
11-10 745
安全漏洞修复
漏洞修复之 SRI
波子汽水
11-02 6487
这几天,GitHub 宣布 启用 SRI 策略 ,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组( Web
Subresource Integrity 介绍--SRI (Subresource Integrity) 的检查
zhang8907xiaoyue的博客
11-23 9861
这几天,GitHub 宣布启用 SRI 策略,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。 SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组(
Web开发安全之旅之攻击篇
1900's 88 keys的博客
03-10 4272
目录Web开发安全之旅之攻击篇Cross-Site Scripting(XSS)XXS的分类Cross-site request forgery(CSRF)Injection(注入)Denial of Service(DoS)Distributed Dos (DDoS)中间人攻击 Web开发安全之旅之攻击篇 Cross-Site Scripting(XSS) Cross-Site Scripting(XSS) 跨站脚本攻击是最常见的一种攻击方式 攻击者会在我们开发维护页面中,通过一种方式把其恶意脚本
JavaWeb入门指南:开启您的Web开发之旅
weixin_52533007的博客
07-12 3318
本博主将用优快云记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!Java Web指的是使用Java编程语言开发Web应用程序。通常,这类应用程序运行在Java Web服务器(如Apache Tomcat、Jetty等)上,而不是在本地计算机上的JVM上运行。
Java Web 应用开发基础入门
lyl040215的博客
05-26 2360
本文介绍了JavaWeb应用开发的基础知识,包括开发环境搭建、核心技术和实践应用。首先概述了JavaWeb应用的定义和优势,如跨平台性、丰富的框架生态和高性能。然后详细讲解了开发环境配置,涉及JDK、Tomcat和IDE的安装。在技术层面,重点介绍了Servlet的生命周期、JSP语法以及MVC设计模式的实现方法。最后通过MySQL数据库操作示例展示了JavaWeb应用的完整开发流程。文章还提供了常见问题解决方案,为初学者提供了全面的JavaWeb开发入门指导。
Ruby on Rails Web开发之旅.pdf【第二部分】
11-04
《Ruby.on.Rails.Web开发之旅》,作者:【德】Patrick Lenz,翻译:王德民、刘昕、裴立秋,出版社:人民邮电出版社,ISBN:9787115188526,PDF 格式,大小 144 Mb,被压缩为 3 部分,本资源是第二部分;第一部分下载...
Java Web开发:从入门到实战的技术之旅.docx
04-25
Java Web开发是构建互联网应用的核心技术之一,涵盖了从基础入门到项目实战的全方位知识。Java语言由于其跨平台性、对象导向、安全性高等特点,成为开发Web应用的优选语言。JavaWeb开发涉及多种技术和工具的协同工作...
Ruby on Rails Web开发之旅.pdf【第三部分】
11-04
《Ruby.on.Rails.Web开发之旅》,作者:【德】Patrick Lenz,翻译:王德民、刘昕、裴立秋,出版社:人民邮电出版社,ISBN:9787115188526,PDF 格式,大小 144 Mb,被压缩为 3 部分,本资源是第三部分;第一部分下载...
3.2-Web开发介绍(AI)
m0_64924660的博客
01-06 207
Web:全球广域网,也称为万维网(www World Wide Web),能够通过浏览器访问的网站。Web:全球广域网,也称为万维网(www World Wide Web),能够通过浏览器访问的网站。
前端组件级权限控制
马优晨
01-06 345
前端组件级权限控制通过统一管理权限数据,采用声明式或编程式方式在组件层面进行校验。核心方案包括:1)指令式控制(适合按钮/小组件),通过自定义指令如v-permission实现;2)组件封装式控制(适合通用组件),封装<Permission>容器组件;3)编程式控制(适合复杂逻辑),在JS中直接判断权限。所有方案都需配合后端接口校验防止权限篡改,并适配不同框架如Vue、React和Angular。关键点是先规范权限数据管理,再选择适合的控制方式,同时确保后端兜底校验。
Vue 3 组件通信全方案详解:Props/Emit、provide/inject、事件总线替代与组合式函数封装
小二丶的博客
01-05 1279
本文系统梳理Vue3中7种组件通信方式,重点剖析props/emits、provide/inject、v-model等核心方案,并通过实战案例演示应用场景。文章包含完整TypeScript代码实现、性能对比数据及5个常见反模式避坑指南。主要内容包括:父子组件通信(props/emits)、跨层级通信(provide/inject)、双向绑定(v-model)、逻辑复用(Composables)以及全局状态管理(Pinia)。
前端使用 clip-path + linear-gradient 实现矩形对角线渐变分区
m0_46893049的博客
01-05 207
需要 overflow: hidden 防止溢出。clip-path 不支持 IE。上层:另一个线性渐变 +底层:一个线性渐变背景。控制对角线方向和位置。
vue2纯前端使用Docxtemplater生成word报告,包含echart图表,表格
最新发布
m0_49529959的博客
01-08 294
前端使用Docxtemplater生成docx报告,包含echart图表
前端布局与常见技术总结
to_be_me的博客
01-05 574
本文总结了CSS布局与交互的核心技术要点:1️⃣元素居中方案包括绝对定位+margin、transform平移、Flex布局等5种方法;2️⃣层级管理通过z-index控制,需注意定位元素才生效;3️⃣透明度设置对比了rgba、transparent和opacity的特性差异;4️⃣label标签提升表单可用性;5️⃣纯CSS选项卡实现原理;6️⃣Swiper轮播图的基础配置方法。涵盖了从基础定位到复杂交互的实现方案,提供多种技术选择的对比参考。
Kkyler的全栈Web开发学习之旅
凯勒(Kkyler)是一位充满热情的全栈Web开发人员,其个人介绍中透露出强烈的求知欲与对技术精益求精的态度。从标题“凯勒”以及描述中的“Quang Khai - 又名 Kkyler”可以看出,这是一位以技术为核心驱动力的开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

会思想的苇草i

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值