WHAT - 前端安全性测试和常见攻击手段

目录

  • 一、安全性测试
  • 二、前端安全性测试
  • 三、跨站脚本(XSS)攻击
    • 1. 介绍
    • 2. 三大类型
      • 反射型 XSS(Reflected XSS)
      • 存储型 XSS(Stored XSS)
      • DOM 型 XSS(DOM-based XSS)
    • 3. xss 盲打
    • 4. xss 水坑攻击:XSS Watering Hole Attack
    • 5. 防范措施
  • 四、跨站请求伪造(CSRF)
    • 1. 介绍
    • 防范措施
  • 五、身份认证机制现状

一、安全性测试

安全性测试,指有关验证应用程序的安全等级识别潜在安全性缺陷的过程。

比如对于应用程序,安全测试的主要目的是:查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力

常规测试方法:

  • 基于风险的安全测试:信息搜集->威胁建模->可用性分析
  • 白盒测试(找出潜在安全性缺陷的最有效的方法):内部攻击,测试人员可以访问源代码、设计文档,可以进行威胁建模或逐行代码检查
  • 黑盒测试:以局外人的身份对系统进行攻击,使用工具检查系统的攻击面,并探查系统的内部信息
  • 灰盒测试:组合使用白盒测和黑盒测试。程序开发中的调试运行是典型的灰盒测试方法

二、前端安全性测试

前端项目的安全性测试需要关注以下几个方面:

  1. 跨站脚本(XSS)攻击防范:确保输入验证和输出编码以防止恶意用户注入脚本。

  2. 跨站请求伪造(CSRF)保护:使用随机生成的令牌验证请求的来源,以防止未经授权的请求。

  3. 内容安全策略(CSP):配置浏览器只加载信任的资源,防止恶意脚本的执行。

  4. 跨域资源共享(CORS)设置:限制跨域请求,确保仅受信任的域可以访问资源。

  5. 敏感数据保护:在传输和存储敏感数据时使用加密,避免敏感信息泄露。

  6. 认证和授权:实现安全的用户身份验证和授权机制,确保用户只能访问其有权限的资源。

  7. 安全的第三方库和依赖管理:定期更新和审查使用的第三方库,以确保不受已知漏洞的影响。

  8. 安全的前端框架和组件:选择安全可靠的前端框架和组件,避免使用存在漏洞或不安全的工具。

通过这些方面的测试和实施安全措施,可以提高前端项目的安全性,保护用户和数据免受恶意攻击。

三、跨站脚本(XSS)攻击

1. 介绍

XSS,Cross Site Scripting,跨站脚本攻击。

XSS 攻击通常指利用网页开发留下的漏洞,将恶意代码注入网页中,使用户加载并执行攻击者的程序。

具体来说,当动态页面中插入的内容含有特殊字符(如 < )时,用户浏览器会将其误认为是插入了 HTML 标签,尤其当引入了一段 JavaScript 脚本 <script> 时,脚本程序将会在用户浏览器中执行。

当攻击成功后,攻击者可能得到包括但不限于劫持用户会话和 cookie、更高的权限和私密的网页内容和个人信息等各种敏感信息。

JavaScript 能做的事情,就是 xss 能做的事情。

常见脚本:

<script>alert(1)</script>
<input onfocus="alert(1)" autofocus />
<img src onerror="alert(1)" />
<svg onload="alert(1)"></svg>
<a href="javascript:alert(1)">跳转</a>

2. 三大类型

反射型 XSS(Reflected XSS)

在反射型 XSS 攻击中,恶意脚本通过攻击者用户在网站提供的输入功能注入到网站的响应中,然后从响应中反射回其他用户的浏览器,最终被执行。这种攻击下恶意脚本通过 URL 参数或其他输入途径传递给应用程序。

攻击者通常会诱使用户点击一个包含恶意脚本的链接。这个链接可能是通过电子邮件、社交媒体消息、钓鱼网站或其他方式传播的。一旦用户点击了这个链接,其中包含的恶意脚本就会被发送到目标网站的服务器,并被反射到返回给用户的页面中,然后在用户的浏览器中执行。

举个例子,假设攻击者通过电子邮件或社交媒体消息发送了一条诱人的信息给用户,内容可能是:

"您的账户出现异常登录尝试,请立即点击此链接查看详情并修改密码:http://www.example.com/login?username=attacker&password=<script>alert('XSS Attack!')</script>"

用户收到这条信息后,可能会因为担心账户安全而被吸引点击链接。当用户点击链接时,浏览器会向目标网站发送一个带有恶意脚本的请求,其中包含在 URL 参数中的 JavaScript 代码。

目标网站可能会验证用户的登录信息,然后将恶意脚本反射到返回给用户的页面中。用户的浏览器会执行这个恶意脚本,导致弹出一个对话框,显示 “XSS Attack!”。

存储型 XSS(Stored XSS)

在存储型 XSS 攻击中,恶意脚本被用户无意中将其存储在网站的数据库或文件系统中,然后在其他用户访问页面时请求从存储位置检索到包含这些恶意脚本的数据,并在浏览器被执行。这种攻击通常需要攻击者能够向网站提交恶意内容,比如在评论框或表单中注入恶意脚本。

举个例子,假设一个网站有一个留言板功能,允许用户发布评论。攻击者利用这个功能,发布了一个包含恶意脚本的评论,比如:

<script>alert('XSS Attack!');</script>

该评论被存储在网站的数据库中。当其他用户加载包含该评论的页面时,恶意脚本将从数据库中检索并在其浏览器中执行,导致弹出一个对话框,显示 “XSS Attack!”。

DOM 型 XSS(DOM-based XSS)

在 DOM 型 XSS 攻击中,恶意脚本通过修改页面的 DOM 结构来执行,而不是通过服务器返回的响应或存储在数据库中的数据。这种攻击通常涉及恶意脚本被存储在 URL 中,并由客户端的 JavaScript 动态解析执行的攻击形式。

举个例子,假设一个网站有一个搜索功能,会通过 JavaScript 获取 URL 参数进行自动填充搜索,并将其动态插入到页面中的某个元素中。攻击者可以构造一个恶意 URL,比如:

http://www.example.com/search?q=<script>alert('XSS Attack!')</script>

当用户访问这个 URL 时,页面中的 JavaScript 将获取并解析 URL 中的参数,并将其插入到页面中的某个元素内。由于参数中包含恶意脚本,因此该脚本将被动态执行,导致弹出一个对话框,显示 “XSS Attack!”。

3. xss 盲打

简单来说,盲打就是在一切可能的地方(留言区、feedback等)尽可能多的提交 xss 攻击语句,然后看哪一条会被管理员执行,就能获取管理员的 cooike。比如在输入框输入提前准备的 xss 代码,通常是使用 <script> 标签引入远程的 JavaScript 代码,当有管理人员审核提交数据时候,并且点击了提交的数据,就很可能触发获取到有价值的敏感信息。

4. xss 水坑攻击:XSS Watering Hole Attack

来源于鳄鱼埋伏攻击来水边喝水的动物。

水坑攻击,其针对的目标多为特定的团体(组织、行业、地区等),攻击者首先通过猜测(或观察或分析)确定这组目标经常访问的网站,并入侵其中一个或多个,植入恶意软件,最后,达到感染该组目标中部分成员的目的,由于此种攻击借助了目标团体所信任的网站,攻击成功率很高。

XSS 水坑攻击是一种利用受害者经常访问的合法网站或网络服务来进行攻击的策略。攻击者会将恶意代码植入到一个受害者经常访问的网站中,通常是通过对网站的漏洞进行利用或注入恶意脚本来实现。

以下是一个可能的场景:

假设某个组织的员工经常访问一个特定的在线论坛,攻击者意识到这一点,并利用论坛的漏洞或弱点,在论坛的页面中植入了恶意代码,比如一个恶意的 JavaScript。这个 JavaScript 代码可能会窃取用户的登录凭据、会话令牌或其他敏感信息,然后将其发送给攻击者的服务器。

当员工继续访问论坛时,他们的浏览器会加载论坛页面并执行其中的恶意 JavaScript 代码。攻击者因此能够获取受害者的敏感信息,从而导致严重的安全问题。

XSS 水坑攻击的特点是攻击者利用受害者的习惯性行为来实施攻击,并通过植入恶意代码到受害者经常访问的合法网站中,从而使攻击更具隐蔽性和成功率。

5. 防范措施

防御 XSS 攻击是网站开发中至关重要的一环,以下是一些常见的防御措施:

  1. 输入过滤和转义: 对用户输入的数据进行过滤和转义是防御 XSS 攻击的基本手段。网站开发者应该在接收用户输入数据之后,对其进行严格的过滤和转义,以确保用户输入的内容不包含恶意脚本。常见的转义方法包括将特殊字符转换为对应的 HTML 实体,比如将 < 转义为 &lt;

  2. 内容安全策略(CSP): CSP 是一种通过定义允许加载的资源策略来防御多种类型的攻击,包括 XSS 攻击。开发者可以通过在 HTTP 响应头中设置 CSP 来限制页面可以加载的资源来源,从而阻止恶意脚本的注入和执行。

Content-Security-Policy: default-src 'self' https://trusted-domain.com; script-src 'self' https://trusted-scripts.com; style-src 'self' https://trusted-styles.com;

在这个示例中,default-src 指令指定了默认的资源加载策略,script-src 指令指定了可以加载 JavaScript 的来源,style-src 指令指定了可以加载样式表的来源。每个指令后面的值指定了允许加载资源的域名或 URL。

  1. 设置 HttpOnly 标志: 将 Cookie 的 HttpOnly 标志设置为 true 可以防止 JavaScript 代码访问该 Cookie,从而有效地防止了 XSS 攻击中的 Cookie 窃取行为。这样,即使攻击者成功注入了恶意脚本,也无法通过 JavaScript 代码来读取或修改用户的 Cookie。

  2. 严格的输入验证: 在接收用户输入数据之前,进行严格的输入验证,确保输入的数据符合预期的格式和类型。这可以有效地防止攻击者通过构造特殊的输入数据来绕过过滤和转义的防御措施。

  3. 安全的开发实践: 开发者应该采用安全的编程实践,避免在页面中直接使用用户输入的数据作为 JavaScript 代码的一部分,尤其是不应该使用 eval() 函数或 innerHTML 属性来执行动态生成的 HTML、JavaScript 代码。

综上所述,通过结合以上多种防御措施,网站开发者可以有效地保护其网站免受 XSS 攻击的危害。

四、跨站请求伪造(CSRF)

1. 介绍

CSRF,Cross-Site Request Forgery,是一种常见的网络安全攻击,攻击者通过伪造用户的身份,向网站发送恶意请求,以执行未经授权的操作。

攻击者通常会利用用户已经登录的状态,通过欺骗用户访问包含恶意请求的页面,或者在用户浏览器中执行恶意脚本,使得用户在不知情的情况下发起了对受害者账户的请求操作。这些操作可能包括修改个人信息、发起资金转账、更改密码等。

下面是一个详细的例子,说明了 CSRF 攻击的过程和如何利用用户登录状态来伪造请求:

  1. 假设用户已经登录到其银行账户,并在该银行的网站上保持了登录状态。

  2. 攻击者在另一个网站上发布了一个帖子,帖子内容包含一个图片标签 <img src="http://victimbank.com/transfer?to=attacker&amount=1000">。这个图片标签的 src 属性指向了攻击者模仿的银行网站上的一个转账请求,将1000美元转账到攻击者的账户。

  3. 当用户被某些手段吸引到这个网站时,浏览器会自动加载这个帖子中的图片,并向银行网站发送一个转账请求。

  4. 由于用户仍然保持在银行网站上的登录状态,浏览器会自动发送用户的登录凭证(比如 Cookie)给银行网站。银行网站会认为这个请求是合法的用户操作,并执行转账操作。

  5. 如此,攻击者成功地利用了用户的登录状态,伪造了一个转账请求,将1000美元转入了攻击者的账户,而用户在不知情的情况下完成了这次转账操作。

通过这个例子,我们可以看到,攻击者利用用户已经登录的状态,在用户不知情的情况下发送了恶意请求,从而实现了对用户账户的非法操作。这就是 CSRF 攻击的基本原理。通俗来讲,这就利用了 web 场景中用户身份认证的一个漏洞:简单的 cookie 身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

利用条件:

  • 已知目标网站的请求格式
  • 发起的 http 请求可事先构造

防范措施

主要是使得请求不可伪造:

  • 利用 SameSite Cookie。如设置为 lax,允许服务器要求某个 cookie 在跨站 post 请求时不会被发送
  • Token 机制验证。即以 token 来进行身份信息验证,一般是设置在请求头 Authorization: Bearer ${accessToken}
  • Refer 验证。即验证请求来源。如果是非正常页面过来的请求,则极有可能是 CSRF 攻击
  • 验证码。在表单中添加一个验证码功能,通过强制真实用户和应用进行交互,来有效地遏制 CSRF 攻击

五、身份认证机制现状

通过上面的学习,我们知道常见攻击手段目标就有涉及 Cookie 的获取。

在早期,开发者会使用 Cookie 进行登录验证,这存在一些安全问题,主要包括以下几点:

  1. 会话劫持:恶意攻击者可以窃取用户的 cookie,包括用于身份验证的会话 cookie。一旦攻击者获取了有效的会话 cookie,他们就可以冒充用户,访问用户的账户,并执行各种操作,比如修改用户资料、发送消息等。
  2. XSS 攻击:如果网站存在 XSS 漏洞,攻击者可以注入恶意脚本来窃取用户的 cookie。一旦攻击者成功注入了恶意脚本,他们就可以获取用户的 cookie,并进一步进行会话劫持等攻击。
  3. 跨站请求伪造(CSRF):攻击者可以利用 CSRF 攻击来伪造用户的请求,以用户的身份执行某些操作,而不需要知道用户的凭证。如果网站使用基于 cookie 的身份验证,那么攻击者可以利用用户的活动会话来发送恶意请求,从而执行未经授权的操作。

虽然很多网站在登录验证上已经转向了更安全的方法,比如使用基于令牌(token)的认证机制,但这并不意味着 XSS 攻击等攻击手段不再构成威胁,他们仍可以获取其他类型的敏感信息。因此,即使网站采用了更安全的登录验证方式,也不应忽视对 XSS 等攻击的防范。继续实施安全的编码实践定期审查和更新代码、以及使用安全框架和工具来防止 XSS 等攻击仍然是至关重要的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/10345.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

代码随想录第五十天|最佳买卖股票时机含冷冻期、买卖股票的最佳时机含手续费

题目链接&#xff1a;. - 力扣&#xff08;LeetCode&#xff09; 最佳买卖股票时机含冷冻期与打家劫舍的题目有异曲同工之妙&#xff0c;主要是出现了天数的间隔&#xff0c;一次需要在买卖股票的最佳时机II 题目上做一点调整&#xff0c;代码如下&#xff1a; 如代码所示&…

unity给物体添加可以包裹所有子物体的BoxCollider

代码如下可直接调用 MeshTool.SpawnCollider(mode);using UnityEngine;public class MeshTool {public static Bounds SpawnCollider(Transform target){Vector3 pMax Vector3.zero;Vector3 pMin Vector3.zero;Vector3 center Vector3.zero;Vector3 oldPos target.transfor…

Linux系统编程——进程控制

目录 一&#xff0c;进程创建 1.1 fork回顾 1.2 写时拷贝 1.3 fork用处 1.4 fork调用失败原因 二&#xff0c;进程退出 2.1 进程退出场景 2.2 mainCRTStartup调用 2.3 进程退出码 2.3.1 main函数返回值 2.3.2 strerror ​编辑 2.3.3 命令的退出码 2.4 进程正常退…

【第19章】spring-mvc之全局异常处理

文章目录 前言一、全局异常处理1. 前端2. 后端 二、常见错误页1.增加界面2.web.xml3.异常处理4.效果 总结 前言 例如&#xff1a;随着人工智能的不断发展&#xff0c;机器学习这门技术也越来越重要&#xff0c;很多人都开启了学习机器学习&#xff0c;本文就介绍了机器学习的基…

go使用redis连接池技术操作redis数据库实例

我们都知道&#xff0c;在程序开发中&#xff0c;网络链接的开销是比较大的&#xff0c; 当我们在链接redis 时&#xff0c;如果是操作一次就执行一次DIal拨号&#xff0c;那性能是很低的&#xff0c;redis的效率瞬间就被你降低了50%&#xff0c; 提速redis使用性能的第一步就是…

CSS-伪类选择器

结构伪类选择器 作用&#xff1a;根据元素的结构关系查找元素 分类&#xff1a; 选择器说明元素名:first-child查找第一个元素元素名:last-child查找最后一个元素元素名:nth-child(N)查找第N名元素 <!DOCTYPE html> <html lang"en"> <head><me…

react框架对Excel文件进行上传和导出

1.首先需要安装xlsx第三方的库库 引入插件 npm install xlsx在react引入 import * as XLSX from xlsx;1&#xff0c;首先设置jsx部分的 以下代码包含有导入excel文件和导出excel文件&#xff0c;读着可以根据需要&#xff0c;自己选择想要实现的功能 代码如下&#xff0…

动态代理(JDK、Cglib、Bytebuddy)

文章目录 动态代理JDK动态代理代理对象的生成动态代理执行流程简化代码静态代理 Cglib动态代理代理类的生成动态代理执行流程 bytebuddy常用api生成一个类对实例方法进行插桩实例方法进行插桩的扩展三种增强方式插入新方法方法委托动态修改入参对构造方法进行插桩对静态方法进行…

【北京迅为】《iTOP-3588从零搭建ubuntu环境手册》-第3章 Ubuntu20.04系统设置

RK3588是一款低功耗、高性能的处理器&#xff0c;适用于基于arm的PC和Edge计算设备、个人移动互联网设备等数字多媒体应用&#xff0c;RK3588支持8K视频编解码&#xff0c;内置GPU可以完全兼容OpenGLES 1.1、2.0和3.2。RK3588引入了新一代完全基于硬件的最大4800万像素ISP&…

【论文阅读笔记】jTrans(ISSTA 22)

个人博客地址 [ISSTA 22] jTrans&#xff08;个人阅读笔记&#xff09; 论文&#xff1a;《jTrans: Jump-Aware Transformer for Binary Code Similarity》 仓库&#xff1a;https://github.com/vul337/jTrans 提出的问题 二进制代码相似性检测&#xff08;BCSD&#xff0…

2024数维杯数学建模B题完整论文讲解(含每一问python代码+结果+可视化图)

大家好呀&#xff0c;从发布赛题一直到现在&#xff0c;总算完成了2024数维杯数学建模挑战赛生物质和煤共热解问题的研究完整的成品论文。 本论文可以保证原创&#xff0c;保证高质量。绝不是随便引用一大堆模型和代码复制粘贴进来完全没有应用糊弄人的垃圾半成品论文。 B题论…

跟我学C++中级篇——封装对象的实践

一、对象封装 在面向对象编程中&#xff0c;首要的事情就是如何进行对象的封装。说的直白一些&#xff0c;就是如何设计类或者是结构体。许多开发者看过不少的书&#xff0c;也学过很多的设计方法&#xff0c;更看过很多别人的代码。那么如何指导自己进行对象的封装呢&#xf…

数学学习笔记1——二次函数中的数形结合

二次函数中的数形结合 一、解一元二次不等式 基本方法&#xff1a;配方。 x 2 − 4 x 3 < 0 → ( x − 2 ) 2 < 1 → ∣ x − 2 ∣ < 1 → 1 < x < 3 x^2-4x3<0\to(x-2)^2<1\to\lvert x-2\rvert<1\to1<x<3 x2−4x3<0→(x−2)2<1→∣x−…

VBA_MF系列技术资料1-605

MF系列VBA技术资料1-605 为了让广大学员在VBA编程中有切实可行的思路及有效的提高自己的编程技巧&#xff0c;我参考大量的资料&#xff0c;并结合自己的经验总结了这份MF系列VBA技术综合资料&#xff0c;而且开放源码&#xff08;MF04除外&#xff09;&#xff0c;其中MF01-0…

具备教学意义的实操(用队列实现栈)

225. 用队列实现栈 - 力扣&#xff08;LeetCode&#xff09;https://leetcode.cn/problems/implement-stack-using-queues/description/ 实现逻辑 一个是先进先出&#xff08;队列&#xff09;&#xff0c;一个是后进先出&#xff08;栈&#xff09; 这里用两个队列导入一下数据…

JS实现递归功能

// 递归函数示例&#xff1a;计算阶乘 function factorial(n) {if (n 0) {return 1;} else {return n * factorial(n - 1);} }// 调用递归函数计算阶乘 const result factorial(5); console.log(result); // 输出 120 在上面的示例中&#xff0c;我们定义了一个递归函数fact…

项目管理 | 如何做好项目管理?

大部分人在做项目管理时会遇到以下问题&#xff1a; 团队沟通不畅&#xff0c;对于项目的各个环节和配合方无法掌控项目的任务分配和跟踪困难&#xff0c;项目进度不透明项目上线进度慢&#xff0c;没有威信难以服众 那项目管理怎么做&#xff1f;这篇就结合简道云团队的经验…

爬虫学习:XPath提取网页数据

目录 一、安装XPath 二、XPath的基础语法 1.选取节点 三、使用XPath匹配数据 1.浏览器审查元素 2.具体实例 四、总结 一、安装XPath 控制台输入指令&#xff1a;pip install lxml 二、XPath的基础语法 XPath是一种在XML文档中查找信息的语言&#xff0c;可以使用它在HTM…

MySQL 数据库中 Insert 语句的锁机制

在数据库系统中&#xff0c;Insert 语句是常用的操作之一&#xff0c;用于向数据库表中插入新的数据记录。然而&#xff0c;当多个会话&#xff08;或者线程&#xff09;同时对同一张表执行 Insert 操作时&#xff0c;可能会引发一些并发控制的问题&#xff0c;特别是涉及到锁的…

数据结构----二叉树

博主主页: 码农派大星. 关注博主带你了解更多数据结构知识 1. 树型结构 1.1 概念 树是一种非线性的数据结构&#xff0c;它是由n&#xff08;n>0&#xff09;个有限结点组成一个具有层次关系的集合。把它叫做树是因为它看起来像一棵倒挂的树&#xff0c;也就是说它是根朝上…