目录

一、XSS

XSS攻击分类

XSS攻击的危害

防范手段

二、CSRF 

CSRF攻击的危害

防御

三、点击劫持-clickjacking

防御

四、SQL注入

防御

OS命令注入

请求劫持

---

一、XSS

Cross Site Scripting 跨站脚本攻击
XSS (Cross-Site Scripting)，跨站脚本攻击，因为缩写和 CSS重叠，所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的非本站点HTML标签或JavaScript进行的一种攻击。
跨站脚本攻击有可能造成以下影响:
1、利用虚假输入表单骗取用户个人信息。
2、利用脚本窃取用户的Cookie值，被害者在不知情的情况下，帮助攻击者发送恶意请求。
3、显示伪造的文章或图片。

XSS攻击分类

1、反射型-url参数直接注入

// 正常
http://localhost:8080/?from=lcy

// alert
http://localhost:8080/?from=<script>alert("What are you doing?")</script>

// 非法获取cookie
http://localhost:8080/?from=<script src="http://localhost:8081/hack.js></script>

// 伪造cookie入侵
document.cookie = cookie

2、存储型-存储到DB后读取时注入

<script src="http://localhost:8081/hack.js>

XSS攻击的危害

1、获取页面数据

2、获取Cookies

3、劫持前端逻辑

4、发送请求

5、偷取用户资料

6、欺骗用户

7、偷取网站数据

8、偷取用户登录态和未公开数据

9、欺骗用户

防范手段

ejs转义

<% code %>用于执行其中javascript代码；
<%= code %>会对code进行html转义；
<%- code %>将不会进行转义；

1、HEAD 

ctx.set('X-XSS-Protection', 0) // 禁止XSS过滤

0 禁止XSS过滤。
1 启用XSS过滤（通常浏览器是默认的）。 如果检测到跨站脚本攻击，浏览器将清除页面（删除不安全的部分）。
1;mode=block 启用XSS过滤。 如果检测到攻击，浏览器将不会清除页面，而是阻止页面加载。
1; report= (Chromium only)
启用XSS过滤。 如果检测到跨站脚本攻击，浏览器将清除页面并使用CSP report-uri 指令的功能发送违规报告。

 2、CSP

内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层，用于帮助检测和缓解某
些类型的攻击，包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到
网站破坏或作为恶意软件分发版本等用途。

CSP 本质上就是建立白名单，开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只
需要配置规则，如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻
击。

// 只允许加载本站资源
Content-Security-Policy: default-src 'self'
// 只允许加载 HTTPS 协议图片
Content-Security-Policy: img-src https://*
// 不允许加载任何来源框架
Content-Security-Policy: child-src 'none'

3、转义字符

function escape(str) {
    str = str.replace(/&/g, '&')
    str = str.replace(/</g, '&lt;')
    str = str.replace(/>/g, '&gt;')
    str = str.replace(/"/g, '&quto;')
    str = str.replace(/'/g, '&#39;')
    str = str.replace(/`/g, '&#96;')
    str = str.replace(/\//g, '&#x2F;')
    return str
}

富文本来说，显然不能通过上面的办法来转义所有字符，因为这样会把需要的格式也过滤掉。对于这种情况，通常采用白名单过滤的办法，当然也可以通过黑名单过滤，但是考虑到需要过滤的标签和标签属性实在太多，更加推荐使用白名单的方式。

4、黑名单，白名单

const xss = require('xss')
let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>')
// -> <h1>XSS Demo</h1>&lt;script&gt;alert("xss");&lt;/script&gt;
console.log(html)

5、HttpOnly Cookie

这是预防XSS攻击窃取用户cookie最有效的防御手段。Web应 用程序在设置cookie时，将其
属性设为HttpOnly，就可以避免该网页的cookie被客户端恶意JavaScript窃取，保护用户cookie信息。

二、CSRF 

CSRF(Cross Site Request Forgery)，即跨站请求伪造，是一种常见的Web攻击，它利用用户已登录的身份，在用户毫不知情的情况下，以用户的名义完成非法操作。 

i、用户已经登录了站点 A，并在本地记录了 cookie
ii、在用户没有登出站点 A 的情况下（也就是 cookie 生效的情况下），访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。
iii、站点 A 没有做任何 CSRF 防御 

CSRF攻击的危害

1、利用用户登录态

2、用户不知情

3、完成业务请求

4、盗取用户账户金额

5、冒充用户发送不良消息

6、损害网站声誉

防御

1、禁止第三方网站带cookie-有兼容性问题

2、Referer Check - Https不发送referer

app.use(async (ctx, next) => {
    await next()
    const referer = ctx.request.header.referer
    console.log('Referer:', referer)
})

3、验证码

三、点击劫持-clickjacking

点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中，并将 iframe 设置为透明，在页面中透出一个按钮诱导用户点击。

防御

1、X-FRAME-OPTIONS

X-FRAME-OPTIONS 是一个 HTTP 响应头，在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用 iframe 嵌套的点击劫持攻击。

该响应头有三个值可选，分别是：
        a：DENY，表示页面不允许通过 iframe 的方式展示
        b：SAMEORIGIN，表示页面可以在相同域名下通过 iframe 的方式展示
        c：ALLOW-FROM，表示页面可以在指定来源的 iframe 中展示

ctx.set('X-FRAME-OPTIONS', 'DENY')

2、JS方式

// 比较早期的一种防御手段
// 通过判断你是否是顶层的窗口，决定是否显示页面内容
// 如果是非顶层窗口，则表示页面被其他网页使用iframe嵌套了
<head>
    <style id="click-jack">
        html {
            display: none !important;
        }
    </style>
</head>
<body>
<script>
    if (self == top) {
        var style = document.getElementById('click-jack')
        document.body.removeChild(style)
    } else {
        top.location = self.location
    }
</script>
</body>

四、SQL注入

// 填入特殊密码
1'or'1'='1
// 拼接后的SQL
SELECT *
FROM test.user
WHERE username = 'laowang'
AND password = '1'or'1'='1'

防御

所有的查询语句建议使用数据库提供的参数化查询接口**，参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中，即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query方法中的 ? 占位参数。

// 错误写法
const sql = `
    SELECT *
    FROM test.user
    WHERE username = '${ctx.request.body.username}'
    AND password = '${ctx.request.body.password}'
    `
console.log('sql', sql, )
res = await query(sql)

// 正确的写法
const sql = `
    SELECT *
    FROM test.user
    WHERE username = ?
    AND password = ?
    `
console.log('sql', sql, )
res = await query(sql,[ctx.request.body.username, ctx.request.body.password])

1、严格限制Web应用的数据库的操作权限**，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害
2、后端代码检查输入的数据是否符合预期**，严格限制变量的类型，例如使用正则表达式进行一些匹配处理。
3、对进入数据库的特殊字符（'，"，\，<，>，&，*，; 等）进行转义处理，或编码转换**。基本上
所有的后端语言都有对字符串进行转义处理的方法，比如 lodash 的 lodash._escapehtmlchar
库。 

五、OS命令注入

OS命令注入和SQL注入差不多，只不过SQL注入是针对数据库的，而OS命令注入是针对操作系统的。OS命令注入攻击指通过Web应用，执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏，就可以执行插入的非法命令。

六、请求劫持

1、DNS劫持

NS服务器(DNS解析各个步骤)被篡改，修改了域名解析的结果，使得访问到的不是预期的ip。

2、HTTP劫持

运营商劫持，好像只能将HTTP升级为HTTPS，暂时没有找到其他的解决办法

      Web应用是由动态脚本、编译过的代码等组合而成。

      它通常架设在Web服务器上，用户在Web浏览器上发送请求，这些请求使用HTTP协议，经过因特网和企业的Web应用交互，由Web应用和企业后台的数据库及其他动态内容通信。

      如今网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。

      根据Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。然而现实是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。

   

 那么web应用常见的攻击手段有哪些？

      XSS攻击

      跨站脚本攻击(Cross-Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。

     XSS是一种常见的web安全漏洞，它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。不同于大多数攻击(一般只涉及攻击者和受害者)，XSS涉及到三方，即攻击者、客户端与Web应用。XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后，攻击者甚至可以假冒合法用户与网站进行交互。

   

     SQL注入

     攻击者成功的向服务器提交恶意的SQL查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码。

   

       DDOS

      分布式拒绝服务攻击（Distributed Denial of Service），简单说就是发送大量请求是使服务器瘫痪。DDos攻击是在DOS攻击基础上的，可以通俗理解，dos是单挑，而ddos是群殴，因为现代技术的发展，dos攻击的杀伤力降低，所以出现了DDOS，攻击者借助公共网络，将大数量的计算机设备联合起来，向一个或多个目标进行攻击。

    在技术角度上，DDoS攻击可以针对网络通讯协议的各层，手段大致有：TCP类的SYN Flood、ACK Flood，UDP类的Fraggle、Trinoo，DNS Query Flood，ICMP Flood，Slowloris类等等。一般会根据攻击目标的情况，针对性的把技术手法混合，以达到最低的成本最难防御的目的，并且可以进行合理的节奏控制，以及隐藏保护攻击资源。

   

 CSRF

      CSRF（Cross-site request forgery）中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。

       CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。

如何有效防治？

      通常情况下开发人员不可避免的会犯错误，写出有漏洞的代码，即使是资历深厚的工程师，在细节上也很难做的完美。代码的动态、静态测试软件的重要性就凸显出来了，它可以从根本上找出绝大部分代码本身存在的缺陷与漏洞，进而有效的预防网络攻击。

      国产的静态代码分析工具还是挺多的，像中科天齐的悟空，泛联新安的CodeSense，思客云的找八哥等等。

      其中CodeSense 是新一代的软件源代码缺陷分析平台，经过了清华大学与国防科技大学的专家团队对代码静态分析技术的深度理论研究，结合软件工程实践研发而成。使用了控制流分析、数据流分析、上下文敏感分析、对象敏感分析、跨程序分析和跨文件分析等多种国内外先进技术，能够精准的检测软件安全漏洞与质量缺陷，支持多种编程语言，具有强大的检测规则扩展能力，支持多种开发环境与国产化平台。

 

csrf防护手段

登陆csrf建议使用严格的referer验证策略来防御登陆csrf，登陆表单一般都是通过https发送，在合法请求里面的referer都是真实可靠的。如果没有referer字段登陆请求，网站应该直接拒绝以防御这种恶意的修改。

对于使用https协议的网站，如银行、电商类，建议使用严格的referer验证策略来防御csrf攻击。对于那些有特定跨站需求的请求，网站应该建立一份白名单，比如主页等。

如果web站点引用了第三方资源，如图像外链、超链接，网站应该使用一个正确的验证token的框架，比如Ruby-on-Rails。如果此类框架与业务结合效果不好，我们应该花时间来研发更好的token验证策略，例如可以用hmac方法将用户的session与token 绑定到一起。

我们还可以用origin字段来替代referer，既保留了原有效果，又尊重了用户隐私。如果不使用token来防御csrf攻击，这样web站点无论是http还是https请求，不用担心token泄露问题。

如果使用origin字段的方法来防御csrf攻击，网站要注意在处理get请求的时候不要有什么副作用。尽管http规范里已经这样要求，但是很多网站并没有很好的遵守这一要求。让网站都执行这一要求正是我们未来的工作重点。

csrf攻击变种，假如攻击者在一个可信的网站嵌入一个frame并引诱用户点击。严格意义讲这不算是csrf攻击，但有一个相似特点，攻击者都是利用client的浏览器来对他信任的网站发起请求。防御这种攻击的手段就是frame busting，但有个问题就是它依赖js，而js很有可能会被用户或者攻击者禁用。所以我们可以在origin字段里添加一些内容用来描述frame来源，也就是frame里面的超链接，这样受信任的网站就可以根据frame的来源来决定拒绝、还是接受这个请求。

 

应用安全风控

主要应对防止垃圾注册、账号被盗、活动作弊、垃圾消息等欺诈威胁。

基于设备指纹技术，可以获对端取操作设备的多重属性，例如浏览器指纹fingerprint。根据指纹分析该设备参与大促活动、关联多账号等情况，可有效识别作弊、薅羊毛设备。

要准确识别用户是否使用代理访问web站点，因为使用代理可以隐藏客户端真实ip。然后再结合风控模型、用户信息识别作弊用户。

大数据风控引擎，准确分析用户行为特征，有效识别欺诈作弊用户。银行等金融机构及各类电商/O2O发放红包优惠期间，营销活动保护方案将有效识别恶意抢红包用户。

针对票务、挂号平台黄牛抢票、以及营销活动，可以有效发现黄牛党们，从而制止刷单抢票行为。

电商平台低价优惠秒杀活动，营销活动保护可以识别出可疑用户，从而保证平台营销效果和正常用户利益。

营销活动保护可以对作弊点击行为进行拦截，帮助广告主过滤可疑流量，为广告投放效果保驾护航。

 

畸形协议报文

安全合规http/https请求合规，阻止不合规（RFC、用户自定义）。

 

恶意爬虫扫描

web站点防护可以了解下robots协议。只要暴露在公网的web站点100%会面临被爬虫扫描问题。

僵尸网络、全球代理、高匿名代理、tor洋葱代理、亿级恶意黑ip库情报（撞库，暴力破解，扫描，黑产ip库等）、漏洞、爬虫库、互联网攻击溯源数据，域名攻击数据等。

自定义bot行为识别规则，针对referer特征、ua特征、请求速率、次数、并发、参数、路径特征ip范围等防护规则。

针对bot行为拦截情况进行分类统计，以图形化报表展示，提供bot管理决策依据。

 

防篡改

广告插入防护 针对用户侧网络通过内容劫持的方式插入非网站授权的广告或内容的行为进行检测与防护，在浏览器端移除被插入的广告内容，使其对用户不可见

防广告植入对客户端的内容劫持、插入广告的行为进行检测，移除被插入的广告内容，使其对用户不可见

时间戳防盗链对加密URL中的验证信息进行过期验证，验证通过后才认为请求合法，继续提供服务。

 

域名非法劫持

dns劫持攻击将对用户业务及品牌信誉带来严重损失。终端的检测探测点与云端强大数据分析能力，对客户提交的域名进行全国范围的dns验证，详细地展示受护域名在各个地域的劫持情况，规避dns劫持问题所带来的业务风险问题。

 

数据防泄漏

web攻击、系统漏洞攻击等攻击手段操作后台数据库，导致数据库中储存的用户身份证信息、联系方式等敏感信息被攻击者获取。

事前：对服务器信息如响应码，数据库错误信息进行隐藏，并识别拦截黑客的扫描行为，防止黑客的踩点探测漏洞的行为，提升黑客入侵难度。

事中：对黑客入侵行为，如sql注入行为，webshell 上传行为进行感知拦截，阻止黑客对数据库的进一步入侵。

事后：提供自定义的信息泄露防护规则，针对检测到的数据窃取行为，自动启用数据替换策略，将攻击响应传输中的敏感数据，

 

敏感信息防泄露：避免身份证、银行卡、电话号码等敏感数据泄露，针对服务器返回的异常页面或关键字做信息保护。

如电话号码，身份证号进行替换隐藏，防止黑客获取业务数据。

输入规则名称、选择匹配条件（匹配字段为敏感信息，匹配条件为包含，匹配内容为身份证或手机号）和执行动作（替换或观察），

把回应报文body中命中规则内容，替换成*******。