狠狠色丁香婷婷综合尤物/久久精品综合一区二区三区/中国有色金属学报/国产日韩欧美在线观看 - 国产一区二区三区四区五区tv

如果你正在構(gòu)建 web 應(yīng)用，那么你不僅要關(guān)注應(yīng)用的開發(fā)，還要關(guān)注其安全性。

事實上，由于 web 應(yīng)用程序設(shè)計不當(dāng)，每天發(fā)生的網(wǎng)絡(luò)攻擊超過 2,200 起^[1]。

因此，你必須了解 web 應(yīng)用中可能發(fā)生的不同類型的攻擊，以及如何防范這些攻擊。

1. 跨站腳本攻擊 (Cross-Site Scripting：XSS)

1. 攻擊者發(fā)現(xiàn)網(wǎng)站存在漏洞，然后注入腳本。
2. 攻擊者在網(wǎng)站上注入惡意腳本，目的是竊取每個訪問者的會話 cookie。
3. 每次訪問網(wǎng)站，惡意腳本都會被執(zhí)行。
4. 訪問者的會話 cookie 會被發(fā)送給攻擊者。

跨站腳本攻擊^[2]（XSS）是最常見的攻擊之一。在 XSS 攻擊中，攻擊者將惡意腳本注入可信網(wǎng)站，然后在用戶瀏覽器中執(zhí)行。

什么會導(dǎo)致 XSS 攻擊？

XSS 攻擊的主要原因之一是在頁面上渲染用戶輸入內(nèi)容之前，對這些輸入未處理或處理不當(dāng)。例如，攻擊者可以使用 JavaScript 注入惡意代碼，并在應(yīng)用渲染 DOM 時執(zhí)行。

這些惡意代碼最終會訪問并竊取用戶會話令牌、cookie 和其他存儲在瀏覽器中的敏感信息。

筆者舉例：比如用戶輸入 <script>alert('foolish!'')</script>，未進行處理的話，在展示這段內(nèi)容時可能會在瀏覽器提示 foolish。

如何防止 XSS 攻擊？

防止跨站腳本攻擊并不難，對用戶輸入內(nèi)容的驗證是核心。

確保對用戶插入的數(shù)據(jù)進行過濾，內(nèi)容進行編碼。此外，考慮使用內(nèi)容安全策略（CSP）^[3]來限制加載的資源和腳本。或者，只需使用 Angular、Vue 和 React 等框架，這些框架都有針對跨站腳本攻擊的內(nèi)置預(yù)防機制。

2. SQL 注入

1. 攻擊者訪問 http://student.com?studentId=117 or 1=1; 接口。
2. 服務(wù)器生成 SQL（SELECT *FROM students WHERE studentId=117 or 1=1;） 訪問數(shù)據(jù)庫。
3. 數(shù)據(jù)庫返回所有學(xué)生數(shù)據(jù)給服務(wù)端。
4. 服務(wù)端接口把所有學(xué)生數(shù)據(jù)返回給攻擊者。

SQL 注入是一種存在已久的致命攻擊。攻擊會操縱數(shù)據(jù)庫查詢以獲得未經(jīng)授權(quán)的數(shù)據(jù)庫訪問權(quán)限，從而執(zhí)行惡意活動，如破壞數(shù)據(jù)庫或竊取敏感數(shù)據(jù)。

簡單地說，SQL 注入可讓攻擊者從你的前端執(zhí)行 SQL 查詢。這可能會導(dǎo)致破壞性操作，使你的數(shù)據(jù)庫宕機！

例如，2020 年對愛沙尼亞中央健康數(shù)據(jù)庫的攻擊導(dǎo)致幾乎所有愛沙尼亞公民的健康記錄泄露，就是近年來發(fā)生的大規(guī)模 SQL 注入事件的一個令人痛心的例子。

如何防止 SQL 注入？

防止 SQL 注入的策略分為兩個部分：

1. 首先，需要確保前端輸入的字段經(jīng)過正確過濾和編碼。你需要防止用戶在輸入的字段中插入惡意代碼。
2. 前端對內(nèi)容驗證后，后端接口對接收到的參數(shù)進行驗證和轉(zhuǎn)義同樣重要。不要相信你的接口參數(shù)，因為任何人都可以獲取你的接口地址并開始發(fā)送惡意輸入。因此，后端也要確保對參數(shù)進行驗證。此外，利用 Burp Scanner^[4]、sqlmap^[5]、jSQL Injection^[6] 和 Invicti^[7] 等工具來檢測應(yīng)用中潛在的 SQL 攻擊和相關(guān)漏洞。

3. 跨站請求偽造（Cross Site Request Forgery: CSRF）

1. 攻擊者偽造一個向網(wǎng)站轉(zhuǎn)賬的請求。
2. 攻擊者會將請求嵌入在一個超鏈接中，并將其發(fā)送給可能已登錄網(wǎng)站的訪問者。
3. 訪問者點擊鏈接，無意中將請求發(fā)送至網(wǎng)站。
4. 網(wǎng)站驗證完請求并從訪問者賬戶向攻擊者轉(zhuǎn)賬。

跨站請求偽造（CSRF）是一種前端安全攻擊，它會欺騙特定應(yīng)用上的認證用戶，讓他們執(zhí)行他們不希望執(zhí)行的請求。

這可能是一個偽裝過的表單、鏈接或按鈕，在用戶發(fā)出請求時會更改用戶憑據(jù)、刪除或篡改敏感數(shù)據(jù)，或無意中從用戶的銀行賬戶中轉(zhuǎn)移資金。

筆者舉例：<img src="http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory" />，登錄的用戶訪問到這個 img 標(biāo)簽時，會發(fā)起轉(zhuǎn)賬請求并自動帶上登錄相關(guān)的 cookie。

如何防止 CSRF 攻擊？

防止 CSRF 攻擊的最簡單方法之一就是使用從服務(wù)器生成的 CSRF 令牌。你可以與客戶端共享這些令牌，這樣服務(wù)端就可以在收到的每個請求中檢查令牌并驗證其真實性。如果客戶端未能提供準(zhǔn)確的令牌，服務(wù)器就可以拒絕所請求的操作。

此外，.NET、Joomla、Spring（Spring Security）和 Ruby on Rails 等框架都內(nèi)置了 CSRF 支持，可防止此類攻擊。

4. 中間人攻擊

中間人（MitM）攻擊指攻擊者截獲并操縱雙方之間傳輸?shù)男畔ⅰ?/p>

例如，攻擊者可以攔截你與 Facebook.com 的連接，竊取你的憑據(jù)，然后將你的請求轉(zhuǎn)發(fā)給 Facebook。

當(dāng)攻擊者利用不安全的通信渠道（通常通過公共 WiFi）時，就可以發(fā)生此類攻擊。這種攻擊的受害者并不覺得自己受到了攻擊，因為他們認為自己正在與服務(wù)器進行非常正常和安全的對話，而他們正在共享的信息卻在途中被窺探或篡改。

如何防止中間人攻擊？

1. 使用安全的互聯(lián)網(wǎng)連接，并在不使用應(yīng)用時及時退出登錄。
2. 不要連接不熟悉的網(wǎng)絡(luò)。例如，不要連接咖啡館里的免費 WiFi。
3. 使用安全通信協(xié)議，如 HTTPS 和 TLS，對傳輸中的所有數(shù)據(jù)進行加密。

5. 點擊劫持

1. 攻擊者將點擊劫持的 “內(nèi)容” 放在廣告位置的頂部。
2. 用戶訪問廣告所在頁面。
3. 用戶點擊廣告后會被重定向到與廣告無關(guān)的頁面 - 這時用戶就被 “點擊劫持”了。

點擊劫持（A.K.A - UI 糾錯攻擊）是一種欺騙機制，它欺騙用戶點擊了不是他們想要訪問的東西。

它將隱藏元素覆蓋在網(wǎng)站上一些可點擊的內(nèi)容之上。在這種情況下，用戶實際上是在點擊一個非預(yù)期元素，而該元素可能會在未經(jīng)用戶同意的情況下觸發(fā)資金轉(zhuǎn)移等意外操作。

筆者舉例：攻擊者開發(fā)了一個頁面，里面用 iframe 加載平鋪了百度頁面，并在百度搜索的按鈕上覆蓋一個元素，用戶點擊搜索時，實際點擊的是搜索之上的那個元素。

如何防止點擊劫持攻擊？

為了降低點擊劫持攻擊的潛在風(fēng)險，可以使用一種機制，即使用 X-Frame-Options^[8] 標(biāo)頭，以確保你的網(wǎng)站沒有嵌入到其他網(wǎng)站或 IFrames 中。

6. 安全配置錯誤攻擊

不恰當(dāng)?shù)脑O(shè)置、默認值和過時的配置往往會導(dǎo)致應(yīng)用出現(xiàn)安全配置錯誤問題，從而使網(wǎng)絡(luò)犯罪分子有機可乘。

例如，可能會出現(xiàn)以下情況：啟用目錄列表可能會泄露敏感信息、密碼和仍是默認值的密鑰，以及暴露錯誤處理信息。

如何防止安全配置錯誤問題？

1. 始終確保已更新服務(wù)的默認密鑰和密碼，并定期進行配置審計。
2. 定期審查安全設(shè)置也有助于降低可能存在安全配置錯誤或過時配置漏洞的風(fēng)險。
3. 在配置相似的生產(chǎn)、開發(fā)和測試環(huán)境中使用不同的憑據(jù)進行自動構(gòu)建和部署流程，也有助于保護你的應(yīng)用。

7. 依賴性利用

筆者：上圖中公司內(nèi)部和公共 npm 上都有名為 company-interal-lib 的庫，如果你安裝時不指定公司的源，你可能會安裝 npm 上的包，這個包有安全漏洞。

前端應(yīng)用由大量第三方庫組成，這些庫的使用使開發(fā)人員的工作變得更加輕松。但開發(fā)人員經(jīng)常疏忽的一點是，這些庫有時可能存在安全漏洞。

例如，Log4j^[9] 存在一個巨大的漏洞，攻擊者可以在 Java 環(huán)境中執(zhí)行遠程代碼。因此，任何使用 Log4j 的應(yīng)用程序都會成為這種攻擊的受害者！

如何防止依賴性利用？

使用廣泛使用、維護得當(dāng)、可靠并經(jīng)過社區(qū)測試的庫。

除此之外，定期審計、更新依賴關(guān)系和使用漏洞掃描工具^[10]也能確保前端應(yīng)用的安全。

總結(jié)

確保你構(gòu)建的 web 應(yīng)用保持高度安全非常重要。這不僅僅是為了你的應(yīng)用有良好的用戶體驗，更是為了確保用戶數(shù)據(jù)的安全。

閱讀完這篇文章后，我建議你檢查一下你的應(yīng)用代碼，看看你的應(yīng)用是否容易出現(xiàn)上述問題，如果有，請立即采取相關(guān)策略！