常见Web安全问题与原理简析

CSRF：跨站请求伪造

原理分析

• 受害者登录 ，并保留了登录凭证（Cookie）。a.com
• 攻击者引诱受害者访问了 。b.com
• b.com向  发送了一个请求：。浏览器会默认携带  的a.coma.com/act=xxa.comCookie。
• a.com接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是受害者自己发送的请求。
• a.com以受害者的名义执行了 。act=xx
• 攻击完成，攻击者在受害者不知情的情况下，冒充受害者，让 执行了自己定义的操作。a.com

防御

CSRF的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的  防御也都在服务端进行。CSRF

• 正确使用  , 和 ；GETPOSTCookie
• 在非 请求中增加伪随机数；GET

越权操作

简述

越权漏洞是比较常见的漏洞类型，越权漏洞可以理解为，一个正常的用户A通常只能够对自己的一些信息进行增删改查，但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断，判断所需要操作的信息是否属于对应的用户，可以导致用户A可以操作其他人的信息。

权限攻击可以分为和。水平权限攻击垂直权限攻击

水平权限攻击

水平权限攻击，也叫作访问控制攻击。Web应用程序接收到用户请求，修改某条数据时，没有判断数据的所属人，或者在判断数据所属人时从用户提交的表单参数中获取了userid。导致攻击者可以自行修改userid修改不属于自己的数据。所有的更新语句操作，都可能产生这个漏洞。

垂直权限攻击

垂直权限攻击又叫做权限提升攻击。其原理是由于Web应用没有做权限控制，或仅仅在菜单上做了权限控制，导致恶意用户只要猜测其他管理页面的URL，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的。

防御

这种攻击很容易防御，只需要在每个页面的加载之前进行权限验证即可。一个普通的权限系统，菜单是通过数据库中对应权限和角色来进行字符串拼接形成的，而不是静态的通过在页面上进行权限判断决定的。

SQL注入攻击

简述Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中，再在后台 Sql 服务器上解析执行进行的攻击，它目前黑客对数据库进行攻击的最常用手段之一。

预防

• 特殊字符转义
• 借助成熟的 ORM 库，避免直接拼接 SQL 语句

ARP攻击

原理：

ARP欺骗攻击建立在局域网主机间相互信任的基础上的

当A发广播询问：我想知道IP是的硬件地址是多少？192.168.0.3

此时B当然会回话：我是IP 我的硬件地址是，192.168.0.3mac-b

可是此时IP地址是的C也非法回了：我是IP，我的硬件地址是mac-c。而且是大量的。192.168.0.4192.168.0.3

所以A就会误信的硬件地址是，而且动态更新缓存表192.168.0.3mac-c

此时局域网内所有主机都被欺骗，更改自己的缓存表，此时Ｃ将会监听到整个局域网发送给互联网的数据报。

XSS：跨站脚本攻击

Cross Site Scrit跨站脚本攻击（为与 CSS 区别，所以在安全领域叫 XSS）。

攻击原理

代码被恶意注入到页面中（例如评论），然后其他用户在访问本站页面时，浏览器执行了代码逻辑。

这个和 CSRF 相比，攻击的发起是在本站点，并且通过脚本，攻击者能操作用户的各种信息。危害更大。

防御

• 浏览器自带 X-XSS-Protection
• 特殊字符转义 如变为<&lt;
• 标签过滤 采用白名单机制，仅对安全 html 标签进行渲染，其他不给渲染 内容安全策略（CSP）