1. 首頁 > 云知道 > >

常見的web攻擊方法 web攻擊與防御技術實戰

云知道web


常見的web攻擊方法 web攻擊與防御技術實戰


一個網站建立以后,如果不注意安全方面的問題,很容易被人攻擊,下面就討論一下幾種漏洞情況和防御的辦法.
一.跨站腳本攻擊(XSS)
跨站腳本攻擊(XSS,Cross-site scripting)是最常見和基本的攻擊WEB網站的方法 。攻擊者在網頁上發布包含攻擊性代碼的數據 。當瀏覽者看到此網頁時,特定的腳本就會以瀏覽者用戶的身份和權限來執行 。通過XSS可以比較容易地修改用戶數據、竊取用戶信息,以及造成其它類型的攻擊,例如CSRF攻擊
防御:
1、對于敏感的cookie信息,使用HttpOnly,使document對象中找不到cookie 。
2、對于用戶輸入的信息要進行轉義 。
二. 跨站請求偽造攻擊(CSRF)
跨站請求偽造(CSRF,Cross-site request forgery)是另一種常見的攻擊 。攻擊者通過各種方法偽造一個請求,模仿用戶提交表單的行為,從而達到修改用戶的數據,或者執行特定任務的目的 。為了假冒用戶的身份,CSRF攻擊常常和XSS攻擊配合起來做,但也可以通過其它手段,例如誘使用戶點擊一個包含攻擊的鏈接
防御:
1.采用POST請求,增加攻擊的難度.用戶點擊一個鏈接就可以發起GET類型的請求 。而POST請求相對比較難,攻擊者往往需要借助javascript才能實現
2.對請求進行認證,確保該請求確實是用戶本人填寫表單并提交的,而不是第三者偽造的.具體可以在會話中增加token,確??吹叫畔⒑吞峤恍畔⒌氖峭粋€人
三.Http Heads攻擊
凡是用瀏覽器查看任何WEB網站,無論你的WEB網站采用何種技術和框架,都用到了HTTP協議.HTTP協議在Response header和content之間,有一個空行,即兩組CRLF(0x0D 0A)字符 。這個空行標志著headers的結束和content的開始 ?!奥斆鳌钡墓粽呖梢岳眠@一點 。只要攻擊者有辦法將任意字符“注入”到headers中,這種攻擊就可以發生
以登陸為例:有這樣一個url:
http://localhost/login?page=http://localhost/index
當登錄成功以后,需要重定向回page參數所指定的頁面 。下面是重定向發生時的response headers.
HTTP/1.1 302 Moved Temporarily
Date: Tue, 17 Aug 2010 20:00:29 GMT
Server: Apache mod_fcgid/2.3.5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
【常見的web攻擊方法 web攻擊與防御技術實戰】Location: http://localhost/index
假如把URL修改一下,變成這個樣子:
http://localhost/login?page=http://localhost/checkout
那么重定向發生時的reponse會變成下面的樣子:
HTTP/1.1 302 Moved Temporarily
Date: Tue, 17 Aug 2010 20:00:29 GMT
Server: Apache mod_fcgid/2.3.5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
Location: http://localhost/checkout

這個頁面可能會意外地執行隱藏在URL中的javascript 。類似的情況不僅發生在重定向(Location header)上,也有可能發生在其它headers中,如Set-Cookie header 。這種攻擊如果成功的話,可以做很多事,例如:執行腳本、設置額外的cookie(Set-Cookie: evil=value)等 。
防御:
過濾所有的response headers,除去header中出現的非法字符,尤其是CRLF 。
服務器一般會限制request headers的大小 。例如Apache server默認限制request header為8K 。如果超過8K,Aapche Server將會返回400 Bad Request響應:
對于大多數情況,8K是足夠大的 。假設應用程序把用戶輸入的某內容保存在cookie中,就有可能超過8K.攻擊者把超過8k的header鏈接發給受害者,就會被服務器拒絕訪問.解決辦法就是檢查cookie的大小,限制新cookie的總大寫,減少因header過大而產生的拒絕訪問攻擊

推薦閱讀