前端web安全

一、黑盒扫描和白盒扫描

白盒扫描和黑盒扫描都是针对网络安全和应用程序安全的常用测试方法。

1、白盒扫描指的是测试人员具有关于系统内部结构和代码的全部或部分信息,是基于源代码的安全检测方法,它可以对源代码进行深度分析,从而发现潜在的安全漏洞,因此可以更加精准地识别安全问题。

2、黑盒扫描则是在没有系统内部结构和代码信息的情况下进行的测试,是一种不依赖源代码的安全检测方法。通过模拟攻击者行为并观察应用程序的响应来发现安全漏洞。黑盒测试更侧重于模拟实际攻击,以评估系统的抵御能力。

综合使用这两种方法可以更全面地评估系统的安全性,包括内部代码逻辑和外部攻击面。

二、浏览器缓存工作原理

浏览器缓存(Web caching)是一种技术,它允许浏览器暂存网页资源,如HTML页面、图片、JavaScript文件和样式表等。这样,当用户再次访问同一网页或跳转至使用相同资源的不同页面时,浏览器可以直接从本地缓存中读取数据,而不是每次都从服务器重新下载,从而加快页面加载速度,减少服务器的负载和带宽使用。

浏览器缓存的工作原理可以分为以下几个步骤:

  1. 用户发起页面请求。
  2. 浏览器检查本地缓存中是否有该请求的副本。
  3. 如果有且缓存有效(未过期),浏览器将直接加载本地副本。
  4. 如果没有或缓存已过期,浏览器将发送请求到服务器。
  5. 服务器根据请求头中的缓存相关字段决定是否发送新的资源。
  6. 浏览器接收响应,并根据响应头中的缓存指令更新缓存。

其中的缓存过程具体可以分为两个部分:强制缓存和协商缓存。

强缓存

强缓存不会向服务器发送请求,直接从缓存中读取资源。通过设置响应头中的Expires或Cache-Control字段来控制资源的缓存时间。当资源的缓存时间未过期时,浏览器直接从缓存中获取资源,不发送请求到服务器。

Expires: HTTP/1.0的产品,值为一个绝对时间的GMT格式的时间字符串,代表资源的过期时间。

Cache-Control: HTTP/1.1引入,优先级高于Expires,可以设置多个字段值:

● max-age: 资源在客户端缓存的最大时间(秒)。

● public: 可以被所有用户缓存。

● private: 只能被单个用户缓存。

● no-cache: 需要使用协商缓存来验证过期资源。

● no-store: 所有内容都不会被缓存到缓存或Internet临时文件中。

由于Cache-Control的优先级比expires高,那么直接根据Cache-Control的值进行缓存,意思就是说在600秒内再次发起该请求,则会直接使用缓存结果,强制缓存生效。

注:在无法确定客户端的时间是否与服务端的时间同步的情况下,Cache-Control相比于expires是更好的选择,所以同时存在时,只有Cache-Control生效。

状态码为灰色的请求则代表使用了强制缓存,请求对应的Size值则代表该缓存存放的位置,分别为from memory cache和 from disk cache。

  • from memory cache代表使用内存中的缓存
  • from disk cache则代表使用的是硬盘中的缓存,浏览器读取缓存的顺序为memory --> disk。

协商缓存

当强缓存失效时,浏览器会发送请求到服务器,由服务器决定是否使用缓存的资源。通过设置响应头中的Last-Modified和ETag字段来控制资源的缓存。当资源的缓存时间过期时,浏览器发送请求到服务器,服务器根据资源的Last-Modified或ETag值判断资源是否有更新,如果没有更新,则返回304状态码,告诉浏览器可以使用缓存。

  1. Last-Modified 和 If-Modified-Since:
    ○ Last-Modified: 表示本地文件最后修改日期。
    ○ If-Modified-Since: 发送请求时,浏览器发现本地有文件的副本,就会发送这个字段,服务器通过比较两个时间决定是否发送新的文件。
  2. ETag 和 If-None-Match:
    ○ ETag: 资源的唯一标识,只要资源有变化,ETag就会重新生成。
    ○ If-None-Match: 服务器通过比较客户端提供的ETag和服务器上的ETag,来判断资源是否有变化。
Last-Modified和If-Modified-Since

服务器收到该请求,发现请求头含有If-Modified-Since字段,则会根据If-Modified-Since的字段值与该资源在服务器的最后被修改时间Last-Modified做对比,若服务器的资源最后被修改时间Last-Modified大于If-Modified-Since的字段值,则重新返回资源,状态码为200;否则则返回304,代表资源无更新,可继续使用缓存文件。

ETag 和 If-None-Match

服务器收到该请求后,发现该请求头中含有If-None-Match,则会根据If-None-Match的字段值与该资源在服务器的Etag值做对比,一致则返回304,代表资源无更新,继续使用缓存文件;不一致则重新返回资源文件,状态码为200。

注:Etag / If-None-Match优先级高于Last-Modified / If-Modified-Since,同时存在则只有Etag / If-None-Match生效

缓存控制策略

  • 强制缓存优先: 优先考虑强缓存,如果强缓存有效,则不发起请求。
  • 协商缓存其次: 当强缓存失效时,发起协商缓存的请求。
  • 设置缓存规则: 根据业务需求,合理设置Cache-Control的参数值,如max-age、must-revalidate等。

实践建议

在JavaScript中,我们可以通过设置HTTP请求头来控制缓存策略。例如,使用fetch API时,可以这样设置:

javascript 复制代码
fetch('example.json', {
  headers: {
    'Cache-Control': 'no-cache'
  }
}).then(response => {
  // 处理响应
});

在这个例子中,我们通过设置Cache-Control头为no-cache来确保请求不会被强缓存。

javascript 复制代码
fetch('example.json', {
  headers: {
    'Cache-Control': 'max-age=3600'
  }
}).then(response => {
  // 处理响应
});

在这个例子中,我们通过设置Cache-Control头为max-age=3600,告诉浏览器该资源可以缓存一小时。

  • 对于不常变化的资源,如库文件、字体、主要的CSS和JS文件,可以使用较长的max-age值。31536000秒(365天)也就是说,在365天内再次请求这条数据,都会直接获取缓存数据库中的数据,直接使用。
  • 对于经常变化的资源,可以使用ETag和Last-Modified来进行更细粒度的控制。
  • 使用版本控制或指纹技术(如文件名hash)来管理静态资源,当文件内容变化时,URL也随之变化,从而实现更新缓存。

三、浏览器缓存安全问题

浏览器缓存是一种在本地保存资源副本的技术,用以加快网页的加载速度并减少服务器的负载。然而,不当的缓存管理可能会导致一系列安全问题。以下是对浏览器缓存安全问题的详细分析和预防措施。

敏感数据泄露

当用户通过浏览器访问网站时,敏感信息如密码、个人信息、财务数据等可能被存储在本地缓存中。如果设备丢失或被恶意软件感染,这些信息可能会落入不法分子之手。

预防措施:
  • 对于包含敏感信息的网页,设置合适的存缓策略,如使用 Cache-Control:
    no-store和private,确保浏览器不会存储任何敏感数据。
  • 对于所有敏感信息的传输,坚持使用HTTPS协议,以防止数据在传输过程中被截获。
  • 定期清理敏感数据,特别是在公共或共享设备上。

缓存欺骗

缓存欺骗是一种攻击,攻击者将恶意内容注入到缓存中,使得其他用户在访问时接收到篡改的资源。这种攻击可能导致用户下载恶意软件或被重定向到钓鱼网站。

预防措施:
  • 保证服务器端的输入验证机制健全,以防止跨站脚本攻击(XSS)和其他形式的注入攻击。
  • 使用安全的缓存验证机制,如强验证ETags,确保缓存内容的有效性。
  • 对于动态内容,避免使用共享缓存,并确保缓存内容与用户身份验证状态相匹配。

缓存穿透

缓存穿透是指攻击者故意请求不在缓存中的资源,导致请求绕过缓存直接到达服务器,可能会造成服务器资源的过度消耗。

预防措施:
  • 实现缓存层,对频繁请求的无效资源进行缓存,减少对服务器的直接请求。
  • 对请求进行验证,拒绝无效或恶意的请求,以减少服务器的负担。

旧版本资源的使用

如果浏览器缓存的资源没有及时更新,用户可能会继续使用包含安全漏洞的旧版本资源,从而使系统易受攻击。

预防措施:
  • 使用资源版本控制,如在文件名中加入版本号或内容哈希值,确保用户总是请求最新版本的资源。
  • 设置合理的缓存过期时间或使用Cache-Control: must-revalidate,以确保用户设备上的缓存资源是最新的。

四、其他常见漏洞

Web应用程序可能存在多种漏洞,下面列举一些常见的Web漏洞:

  1. 跨站脚本攻击 (XSS):攻击者注入恶意脚本到Web应用程序中,当其他用户浏览网页时,恶意脚本会在受害者的浏览器中执行。
  2. 跨站请求伪造 (CSRF):攻击者通过欺骗用户执行未经授权的操作,利用用户在目标网站的已登录会话。
  3. 点击劫持:它是一种基于视觉欺骗的攻击方式,其核心在于利用标签的透明属性。攻击者会在网页的可见输入控件上覆盖一个不可见的框,从而让用户误以为自己在操作可见控件,实际上却是在操作不可见框。
  4. 注入漏洞:这包括SQL注入、OS命令注入和XML外部实体(XXE)注入等。攻击者通过在输入中注入恶意数据,可以执行未经授权的操作或访问敏感信息。
  5. 服务器端请求伪造 (SSRF):攻击者通过目标服务器发起未经授权的请求,可能导致数据泄露或内部资源访问。

跨站脚本攻击 (XSS)

1、XSS的说明

Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

XSS 的本质是:用户提交的数据未经过滤,渲染到了HTML上,结果被浏览器当成了代码,浏览器无法分辨哪些代码是可信的,导致恶意代码被执行。在部分情况下,由于输入的限制,注入的恶意代码比较短。但可以通过引入外部的js文件,并由浏览器执行,来完成比较复杂的攻击策略。

所有用户输入的信息,都有可能成为注入的入口。在处理输入时,以下内容需要注意:

  • 来自用户的 UGC 信息
  • URL 参数
  • POST 参数
  • Referer
  • Cookie
  • UA
    总结就是,当我们需要把某些数据渲染到HTML上,但是这些数据是由用户决定的,这时候就有可能受到XSS攻击。
2、XSS的危害

攻击者能够在用户的页面上运行恶意 JS ,就相当于取得了整个页面的浏览器上的控制权,攻击者通过XSS干的事情包括但不限于以下:

  1. 获取用户敏感信息。监听表单输入,获取cookie等
  2. 冒充用户发起操作请求。在恶意脚本中利用用户的登录状态进行货币、物品等转账,更改权限管理等
  3. 钓鱼。弹窗,或改造页面外观,引导用户输入其他网站的敏感信息
  4. 挖矿。占用CPU,消耗资源
  5. 发起DOS攻击。所有被XSS的用户对某个目标发起资源请求。
  6. XSS 蠕虫。如果是社交平台的XSS,在恶意脚本中利用用户的登录状态进行关注、发状态、发私信等操作,发出的状态和私信可再带上攻击 URL,诱导更多人点击,不断放大攻击范围。
    等等
3、XSS的分类

根据攻击的来源,XSS 攻击可分为存储型、反射型和 DOM 型三种。

  1. 存储型XSS(Stored XSS):
    ○ 攻击方式:攻击者将恶意脚本存储在Web应用程序的数据库或其他存储区域中,通常是在用户提交的数据中。这些数据随后被传递给其他用户,当这些用户访问包含恶意脚本的页面时,脚本会在他们的浏览器中执行。
    ○ 影响范围:存储型XSS影响所有访问包含恶意脚本的页面的用户,包括后续访问者。
  2. 反射型XSS(Reflected XSS):
    ○ 攻击方式:攻击者将恶意脚本包含在恶意链接或URL参数中,诱使受害者点击该链接或访问包含恶意参数的页面。然后,服务器将该恶意参数反射回浏览器,恶意脚本随之执行。
    ○ 影响范围:反射型XSS仅影响点击或访问包含恶意参数的链接或URL的用户。
  3. DOM型XSS(DOM-based XSS):
    ○ 攻击方式:DOM型XSS攻击是一种特殊的XSS形式,它不涉及服务器的参与。攻击者通过修改客户端的DOM(文档对象模型)来执行恶意脚本,通常通过改变URL的锚点或DOM属性来实现。
    ○ 影响范围:DOM型XSS的影响仅限于修改DOM的页面,不会将恶意脚本传递到服务器或其他用户。
4、预防XSS的方法
  1. 输入验证和过滤:验证和过滤用户输入是防止XSS攻击的关键。应该对所有输入数据进行验证,确保它们符合预期的格式和类型。同时,对用户输入进行过滤,删除或编码特殊字符,如尖括号和引号。
  2. 转义输出:在将用户输入插入到HTML、JavaScript或其他上下文中时,应使用合适的转义机制,以确保输入不被解释为代码。例如,在HTML中,可以使用HTML实体编码来转义字符,如将"<"替换为"<"。
  3. 内容安全策略(CSP):实施CSP是一种有效的XSS防御方法。CSP允许您定义哪些内容来源是可信任的,浏览器将仅加载来自这些来源的内容,从而减少XSS攻击的风险。
  4. HTTP Only和Secure标志:设置Cookie的"HttpOnly"和"Secure"标志。"HttpOnly"阻止JavaScript访问Cookie,"Secure"要求Cookie只在加密连接中传输。
  5. 使用安全框架和库:使用安全的Web开发框架和库,这些框架通常包括内置的安全机制,可帮助您防止XSS等漏洞。
    综合采用这些方法可以显著减少XSS攻击的风险,并提高Web应用程序的安全性。

跨站请求伪造 (CSRF)

1、CSRF的说明

CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。

2、CSRF的危害

跨站请求伪造(CSRF)攻击具有多种危害,这些危害包括:

  1. 执行未经授权的操作:CSRF攻击可以导致受害者在不知情的情况下执行未经授权的操作,例如更改密码、删除帐户、发布不当内容等。
  2. 篡改用户数据:攻击者可以通过CSRF攻击来修改用户的个人信息、设置等,导致数据的不一致性和损害用户的信誉。
  3. 非法转账或购买:攻击者可以利用CSRF来欺骗受害者在其意愿之外进行银行转账、在线购物或其他财务交易,导致财务损失。
  4. 伪造操作记录:攻击者可以伪造受害者的操作记录,使受害者难以识别或证明攻击的发生。
  5. 劫持会话:CSRF攻击可以劫持受害者的会话,使攻击者能够冒充受害者执行操作,这可能包括登录到用户帐户。
  6. 信息泄漏:攻击者可能利用CSRF漏洞获取受害者的敏感信息,如会话令牌或Cookie。
  7. 恶意广告和社交工程攻击:攻击者可以通过CSRF攻击来强制受害者发布恶意广告或链接,或者欺骗他们参与社交工程攻击。
3、预防CSRF的方法
  1. 使用CSRF令牌:
    ○ 在每个敏感操作的请求中包含一个唯一的CSRF令牌。
    ○ 服务器接收请求后,验证令牌是否与用户会话中的令牌匹配。如果不匹配,则拒绝请求。
javascript 复制代码
<form action="/process" method="post">
  <!-- 添加CSRF令牌 -->
  <input type="hidden" name="csrf_token" value="随机生成的令牌">
  <!-- 其他表单字段 -->
  <input type="text" name="username" placeholder="用户名">
  <input type="password" name="password" placeholder="密码">
  <button type="submit">提交</button>
</form>
  1. 同源策略:
    ○ 利用同源策略,确保只有来自相同源的请求才能访问敏感操作。
    ○ 使用HTTP头部中的"Origin"和"Referer"字段来验证请求的来源。
javascript 复制代码
app.post('/process', (req, res) => {
  // 获取请求的来源
  const origin = req.headers.origin;

  // 检查请求的来源是否合法
  if (origin === 'https://example.com') {
    // 执行敏感操作
    // ...
    res.send('操作成功');
  } else {
    res.status(403).send('拒绝访问');
  }
});
  1. 使用HttpOnly标志的Cookie:
    ○ 将敏感数据存储在只能由服务器访问的Cookie中,并将Cookie标记为HttpOnly,防止JavaScript访问它们。
javascript 复制代码
app.get('/set-cookie', (req, res) => {
    // 创建一个带有HttpOnly标志的Cookie
    res.cookie('myCookie', 'cookieValue', {
        httpOnly: true,
        // 其他Cookie属性,如过期时间,域,路径等,可以在这里设置
    });

    res.send('HttpOnly Cookie已设置');
});
  1. 双重提交cookie:
    ○ 生成一个令牌并将其存储在Cookie中,同时将其作为参数包含在请求中。
    ○ 服务器验证Cookie中的令牌和请求参数中的令牌是否匹配,以确保请求合法。
  2. 限制敏感操作的HTTP方法:
    ○ 仅允许POST、PUT、DELETE等更改状态的HTTP方法执行敏感操作,而不是GET,以减少CSRF攻击的风险。
  3. 使用Content Security Policy(CSP):
    ○ 配置CSP以限制哪些脚本可以在页面上执行,从而降低XSS攻击的风险,因为XSS攻击可以用于实施CSRF攻击。
    综合使用这些方法可以帮助减少CSRF攻击的风险,提高Web应用程序的安全性。

点击劫持

1、点击劫持的说明

点击劫持又称UI-覆盖攻击,通过引诱用户进行鼠标点击操作,但结果实际的操作并不是用户本身的意愿,所以被称为点击劫持。攻击者使用 iframe 作为目标网页载体。iframe 是 HTML 标准中的一个标签,可以创建包含另外一个页面的内联框架,在点击劫持漏洞利用中主要用来载入目标网页。

2、点击劫持的危害
  1. 信息泄露:攻击者可以通过点击劫持将用户误导到恶意网站,以窃取敏感信息,如登录凭据、个人身份信息、财务信息等。
  2. 恶意操作:攻击者可以诱使用户在不知情的情况下执行恶意操作,例如在用户账户上进行不授权的交易、更改密码或删除重要数据。
  3. 社交工程攻击:点击劫持可以用于社交工程攻击,攻击者可以伪装成合法网站,欺骗用户执行不安全的操作,例如下载恶意软件或揭示敏感信息。
  4. 声誉损害:受害者可能会认为他们是在合法网站上执行操作,因此如果他们遭受了损失或泄漏了敏感信息,可能会对受害网站的声誉产生负面影响。
  5. 远程控制:攻击者可以利用点击劫持来获取对用户浏览器的控制,进而执行更广泛的恶意操作,例如植入恶意脚本、发起DDoS攻击等。
  6. 滥用权限:如果用户在登录状态下执行点击劫持操作,攻击者可能会滥用用户的权限,执行未经授权的操作,甚至获取对用户账户的完全控制。
3、预防点击劫持的方法
  1. 使用X-Frame-Options头:
    ○ 在HTTP响应头中设置X-Frame-Options,以阻止网页被嵌套到iframe中。常见选项包括DENY(拒绝嵌套)和SAMEORIGIN(只允许相同源的嵌套)。
javascript 复制代码
const express = require('express');
const app = express();

app.use((req, res, next) => {
    res.setHeader('X-Frame-Options', 'DENY');
    next();
});

// 其他路由和中间件
  1. 使用Content Security Policy(CSP):
    ○ 配置CSP以限制哪些来源可以嵌套您的网页,从而减少点击劫持的风险。
javascript 复制代码
Content-Security-Policy: frame-ancestors 'self' example.com
  1. 实施点击劫持检测和防御机制:
    ○ 在前端代码中实施检测机制,检查页面是否被嵌套,如果是,则采取相应措施,如重定向到主页或显示警告。

注入漏洞

1、注入漏洞说明

注入漏洞是一种常见的网络安全漏洞,它允许攻击者将恶意数据或指令插入应用程序的输入,从而绕过正常的安全机制,执行恶意操作。以下是一些常见类型的注入漏洞:

  1. SQL 注入(SQL Injection): 这是最常见的注入漏洞之一。攻击者通过在应用程序的输入中注入恶意 SQL 查询语句来访问或篡改数据库。如果应用程序未正确验证和转义用户输入,攻击者可以执行任意数据库操作,包括窃取敏感数据或删除数据。
  2. XSS 注入(Cross-Site Scripting Injection): 这种注入漏洞允许攻击者将恶意脚本注入到网页中,然后在用户的浏览器上执行。这可能导致窃取用户的会话令牌、个人信息或进行其他恶意操作。
  3. 命令注入(Command Injection): 这种漏洞允许攻击者在应用程序中执行恶意操作系统命令。攻击者可以通过在输入中注入操作系统命令来获得系统访问权限。
  4. LDAP 注入: 在使用LDAP(轻型目录访问协议)进行身份验证和授权时,攻击者可以通过注入特定的LDAP查询来绕过身份验证措施,访问受保护的资源。
  5. XML 注入: 当应用程序解析XML数据时,攻击者可以通过在输入中注入恶意XML实体来执行XXE(XML External Entity)攻击,可能导致敏感数据泄漏。
  6. SSI 注入(Server-Side Includes Injection): 攻击者可以通过在用户输入中注入SSI命令来执行服务器端包含,可能导致服务器信息泄漏或执行任意代码。
2、注入漏洞的危害

注入漏洞具有严重的危害,因为攻击者可以利用这些漏洞执行恶意操作,导致以下问题:

  1. 数据泄露: 注入漏洞可以使攻击者访问或窃取敏感数据,如用户帐户、密码、信用卡号码、个人身份信息等。这可能导致隐私泄露和数据泄露事件。
  2. 数据篡改: 攻击者可以修改应用程序中的数据,包括数据库中的数据。这可能导致信息的不准确性、损坏或破坏数据完整性。
  3. 身份伪装: 攻击者可以通过注入漏洞冒充其他用户或获取管理员权限,从而执行未经授权的操作,包括修改配置、访问受保护资源或操纵应用程序行为。
  4. 远程执行代码: 一些注入漏洞,如命令注入和XXE,允许攻击者在受影响的服务器上执行恶意代码。这可能导致服务器被入侵,数据被盗或恶意软件的部署。
  5. 服务拒绝(DoS): 攻击者可以使用注入漏洞来执行大量请求,占用服务器资源,最终导致服务不可用。这可能导致业务中断和损失。
  6. 信任破坏: 注入漏洞会损害用户对应用程序的信任。一旦用户意识到应用程序不安全,他们可能会停止使用它,导致声誉受损和客户流失。
3、预防注入漏洞的方法
  1. 参数化查询或预编译语句: 使用参数化查询或预编译语句来构建和执行数据库查询,而不是直接将用户输入拼接到查询语句中。这样可以防止恶意输入被解释为可执行的代码。
  2. 输入验证和过滤: 对所有用户输入进行严格的验证和过滤,确保输入数据符合预期的格式和内容。使用白名单过滤器来限制输入中允许的字符和数据类型,而不是黑名单过滤器。
  3. 使用安全框架和库: 使用安全框架和库,如ORM(对象关系映射)工具、安全的数据库访问层、Web应用程序防火墙(WAF)等,来提供内置的注入防护和安全功能。
  4. 最小化权限: 限制应用程序的权限,确保应用程序只能访问必要的资源和功能。使用最小权限原则,以减少攻击者利用注入漏洞的机会。
  5. 安全编码实践: 遵循安全编码实践,如避免动态拼接查询语句、使用参数化的API、避免直接执行用户输入等。确保开发人员具备安全意识和培训,以编写安全的代码。
  6. 安全审计和漏洞扫描: 定期进行安全审计和漏洞扫描,以检测和修复潜在的注入漏洞。使用自动化工具来扫描应用程序,发现可能存在的漏洞。
  7. 更新和补丁: 及时更新和应用操作系统、数据库和应用程序的安全补丁,以修复已知的漏洞。
  8. 安全测试: 进行安全测试,如渗透测试和代码审查,以发现和修复潜在的注入漏洞。
  9. 敏感数据加密: 对于存储在数据库中的敏感数据,如密码、信用卡号码等,应使用适当的加密算法进行加密,以防止数据泄露。

服务器端请求伪造

1、服务器端请求伪造的说明

服务器端请求伪造(Server-Side Request Forgery,SSRF)是一种安全漏洞,攻击者可以利用该漏洞来发送伪造的请求,使服务器发起对内部资源的请求,甚至攻击内部网络。

以下是服务器端请求伪造的一些特点和危害:

  1. 伪造请求目标: 攻击者可以伪造请求,使服务器发起对内部资源的请求,包括本地文件、内部接口、数据库等。这可能导致敏感信息泄露、数据篡改或未经授权的访问。
  2. 攻击内部网络: 攻击者可以通过伪造请求,使服务器发起对内部网络的请求,例如访问内部管理接口、敏感服务器或其他受限资源。这可能导致内部网络遭受攻击,进一步危及整个系统的安全。
  3. 绕过访问控制: SSRF漏洞可能绕过应用程序的访问控制机制,使攻击者能够访问其本来无权访问的资源。这可能导致未经授权的数据泄露或操作。
  4. 攻击内部服务: 攻击者可以通过伪造请求,使服务器发起对内部服务的请求,如DNS解析服务器、SMTP服务器等。这可能导致服务拒绝、信息泄露或其他恶意操作。
2、预防服务器端请求伪造的方法

为了预防服务器端请求伪造漏洞,可以采取以下措施:

  • 输入验证和过滤: 对用户输入进行严格的验证和过滤,确保输入数据符合预期的格式和内容。特别是对于用户提供的URL或其他外部资源的引用,应进行有效的验证和白名单过滤。
  • 限制请求目标: 在服务器配置中限制服务器可以请求的目标资源。使用白名单机制,只允许访问受信任的资源,避免直接访问内部或未经授权的资源。
  • 安全配置和隔离: 配置服务器和网络以实现最小权限原则,并将不同的服务和资源隔离开来,以减少攻击者利用SSRF漏洞的机会。
  • 访问控制和授权验证: 实施严格的访问控制和授权验证机制,确保服务器只能访问授权的资源,并限制对敏感资源的访问。
  • 安全补丁和更新: 及时应用操作系统、应用程序和组件的安全补丁和更新,以修复已知的漏洞。
  • 安全测试和审计: 进行安全测试,如渗透测试和代码审计,以发现和修复潜在的SSRF漏洞。

五、常见安全漏洞处理

1、代码混淆(Code Obfuscation)

代码混淆是一种通过改变源代码的结构和逻辑以增加代码复杂性、降低可读性,从而防止代码被轻松逆向工程或分析的技术。代码混淆旨在增加攻击者的难度,使其更难以理解和破解代码,代码混淆可以增加逆向工程的难度。

javascript 复制代码
var uglify = require('gulp-uglify');
var ngAnnotate = require('gulp-ng-annotate')
gulp.task('uglify-js',['root'],function(){
    return gulp.src('src/**/*.js')  //指定混淆的文件路径
               .pipe(ngAnnotate())  //处理angular依赖注入确保不受影响
               .pipe(uglify())      //执行代码混淆
               .pipe(gulp.dest('dist'))
});

2、加密算法:

加密算法是用于将数据转换为不可读或不可解密形式的数学方法,可以使用加密算法来加密源代码或关键数据。常见的算法包括AES、RSA等。这种方法需要在运行时解密代码,然后执行。

当涉及加密算法时,有许多不同的算法可供选择,具体取决于安全性需求、应用场景和性能要求。以下是几种常见的加密算法

  1. 对称加密算法 - AES(高级加密标准):
    ○ 说明: 对称加密使用相同的密钥进行加密和解密。
javascript 复制代码
// 使用 CryptoJS 库进行对称加密
const CryptoJS = require('crypto-js');

const plaintext = 'Hello, World!';
const secretKey = 'mySecretKey123';

// 加密
const ciphertext = CryptoJS.AES.encrypt(plaintext, secretKey).toString();

// 解密
const decryptedText = CryptoJS.AES.decrypt(ciphertext, secretKey).toString(CryptoJS.enc.Utf8);

console.log('Original Text:', plaintext);
console.log('Encrypted Text:', ciphertext);
console.log('Decrypted Text:', decryptedText);
  1. 非对称加密算法 - RSA:
    ○ 说明: 非对称加密使用一对公钥和私钥,其中一个用于加密,另一个用于解密。
javascript 复制代码
// 使用 Node.js 的 crypto 模块进行非对称加密
const crypto = require('crypto');

const plaintext = 'Hello, World!';

// 生成密钥对
const { publicKey, privateKey } = crypto.generateKeyPairSync('rsa', {
    modulusLength: 2048,
});

// 加密
const encryptedBuffer = crypto.publicEncrypt(publicKey, Buffer.from(plaintext));
const encryptedText = encryptedBuffer.toString('base64');

// 解密
const decryptedBuffer = crypto.privateDecrypt(privateKey, encryptedBuffer);
const decryptedText = decryptedBuffer.toString('utf8');

console.log('Original Text:', plaintext);
console.log('Encrypted Text:', encryptedText);
console.log('Decrypted Text:', decryptedText);
  1. 非对称加密算法 - SM2:
    ○ 说明: SM2是一种国密算法,是中国自主研发的非对称加密算法,用于数字签名和密钥交换。
javascript 复制代码
const jsrsasign = require('jsrsasign');

// 生成SM2密钥对
const keypair = jsrsasign.KEYUTIL.generateKeypair("SM2");

// 将公钥转换为Hex字符串
const publicKeyHex = jsrsasign.KEYUTIL.getPEM(keypair.pubKeyObj, "PKCS8PUB").replace(/[\r\n]/g, '');

// 加密
const plaintext = "Hello, World!";
const ciphertext = jsrsasign.KJUR.crypto.Cipher.encrypt(plaintext, publicKeyHex, "SM2");

// 解密
const decryptedText = jsrsasign.KJUR.crypto.Cipher.decrypt(ciphertext, keypair.prvKeyObj, "SM2");

console.log("Plaintext:", plaintext);
console.log("Ciphertext:", ciphertext);
console.log("Decrypted text:", decryptedText);
  1. 哈希函数 - SHA-256:
    ○ 说明: 哈希函数将输入数据转换为固定长度的哈希值,通常用于数据完整性验证。
javascript 复制代码
// 使用 Node.js 的 crypto 模块进行哈希
const crypto = require('crypto');

const data = 'Hello, World!';

// 创建哈希对象
const hash = crypto.createHash('sha256');

// 更新哈希对象
hash.update(data);

// 获取哈希值
const hashValue = hash.digest('hex');

console.log('Original Data:', data);
console.log('Hash Value:', hashValue);

3、依赖包问题

应用程序依赖的第三方库或组件可能包含已知的安全漏洞,下载依赖时,如果使用了不可信的或未经验证的源,可能会导致应用程序安装恶意依赖,从而引入漏洞。 攻击者可以利用这些漏洞来入侵应用程序, 使用过时或不安全的依赖版本可能暴露应用程序于已知漏洞的风险。开发团队应该定期更新依赖,并监控漏洞公告。

lodash是一个现代的JavaScript实用程序库,提供模块化,性能和附加功能。 该软件包的受影响版本容易受到原型污染。

函数defaultsDeep可能被诱骗使用构造函数有效负载添加或修改Object.prototype的属性。

4.17.12版本之前的lodash 中 defaultsDeep 方法存在隐患:

javascript 复制代码
const payload = '{"constructor": {"prototype": {"test": "abc" }}}'
_.defaultsDeep({}, JSON.parse(payload))

如此一来,就触发了原型污染,原型中添加了自定义字段,修改了JavaScript 对象的原型(prototype)

要减轻依赖导致的Web安全漏洞问题,可以采取以下措施:

  • 定期审查依赖:监控依赖库的安全通知,确保及时升级到修复了漏洞的版本。
  • 使用可信的依赖源:只使用受信任的依赖源,并验证下载的依赖文件的完整性。
  • 使用安全配置:确保依赖库的配置安全,不包含敏感信息。
  • 监控依赖:使用依赖审计工具,及时发现漏洞和不安全的依赖。

安全扫描漏洞需要更新项目依赖,我们可以通过以下命令查看版本

  • npm outdated 这个命令会列出所有已安装的依赖包以及它们的当前版本、最新版本和是否需要更新的信息。
  • npm info 依赖包名称 versions(查看所有版本)
  • npm view 依赖包名称 versions(查看所有版本)
  • 可以通过npm update全局更新依赖,或者通过npm i 指定版本更新

注意:升级依赖要查看是否会影响项目功能,若升级后影响过大,需要评估升级成本

相关推荐
掘金一周3 分钟前
金石焕新程 >> 瓜分万元现金大奖征文活动即将回归 | 掘金一周 4.3
前端·人工智能·后端
三翼鸟数字化技术团队21 分钟前
Vue自定义指令最佳实践教程
前端·vue.js
Jasmin Tin Wei1 小时前
蓝桥杯 web 学海无涯(axios、ecahrts)版本二
前端·蓝桥杯
圈圈编码1 小时前
Spring Task 定时任务
java·前端·spring
转转技术团队1 小时前
代码变更暗藏危机?代码影响范围分析为你保驾护航
前端·javascript·node.js
zhu12893035561 小时前
网络安全的重要性与防护措施
网络·安全·web安全
Mintopia1 小时前
Node.js高级实战:自定义流与Pipeline的高效数据处理 ——从字母生成器到文件管道的深度解析
前端·javascript·node.js
渗透测试老鸟-九青1 小时前
面试经验分享 | 成都渗透测试工程师二面面经分享
服务器·经验分享·安全·web安全·面试·职场和发展·区块链
Mintopia1 小时前
Three.js深度解析:InstancedBufferGeometry实现动态星空特效 ——高效渲染十万粒子的底层奥秘
前端·javascript·three.js
北凉温华1 小时前
强大的 Vue 标签输入组件:基于 Element Plus 的 ElTagInput 详解
前端