home > webfront > SGML > web >

web开发前端安全问题总结——web前端安全问题汇总

author:zhoulujun@live.cn    hits:

越来越多的人开始意识到,网站即软件,而且是一种新型的软件。这种 "互联网软件 "采用客户端 服务器模式,建立在分布式体系上,通过互联网通信,具有高延时(high latency)、高并发等特点

 CSRF(Cross-site request forgery)跨站请求伪造

即攻击者通过伪造请求攻击目标网站漏洞。

CSRF漏洞检测:

检测CSRF漏洞是一项比较繁琐的工作,最简单的方法就是抓取一个正常请求的数据包,去掉Referer字段后再重新提交,如果该提交还有效,那么基本上可以确定存在CSRF漏洞。

工具有:CSRFTesterCSRF Request Builder等。

防御CSRF攻击:

  1. 通过 referer、token、验证码或者自定义的HTTP头属性信息 来检测用户提交。

  2. 尽量不要在页面的链接中暴露用户隐私信息。

  3. 对于用户修改删除等操作最好都使用post 操作 。

  4. 避免全站通用的cookie,严格设置cookie的域。

  5. 设置referrer-policy规则

推荐文章:《浅谈CSRF攻击方式

XSS跨站脚本攻击(Cross Site Scripting)

即攻击者在通过JS脚本攻击目标网站漏洞。可以分为三大类:

反射性XSS(非持久性):攻击者构造可被浏览器执行输入的恶意代码(如输入框、URL地址栏),网站没有做拦截就执行攻击者的目标逻辑。

存储型XSS:网站保存攻击者的恶意代码(服务端存储了客户端的数据,但没有做任何处理,如留言板、用户信息等),并且展示时会执行恶意代码从而实现攻击者的目的。

DOM-Based型XSS:浏览器(客户端)在DOM解析时直接使用恶意数据

XSS漏洞检测

xss攻击主要还是利用白名单对HTML内容进行过滤检测。

软件检测:Burpsuit XDT

防御XSS攻击

  1. 输入输出白名单检查:过滤、转义

  2. 对重要cookie信息设置httpOnly

  3. 设置CSP

推荐文章:《XSS漏洞攻击原理与解决办法》、《XSS漏洞的原理

ClickJacking点击劫持攻击

即攻击者劫持用户的点击完成攻击目标。如通过在色情图片上悬浮透明构造好的iframe表单。

防御ClickJacking

设置X-Frame-Options

通过在网页中添加js脚本阻止被iframe嵌套

推荐文章《再谈Hijacking——JavaScript ClickJacking原理浅析

The target="_blank" 安全缺陷

  1. 控制跳转前的页面:攻击者在目标网站插入target="_blank"链接,用户点击插入的链接页面后,执行window.opener.location = 'https://www.zhoulujun.cn/',跳转到钓鱼页面,而用户而不知情况下完成钓鱼攻击。

    防御措施:为 target="_blank" 加上 rel="noopener noreferrer" 属性

  2. 控制跳转后的页面:具体查看《前端黑魔法之远程控制地址栏》,节选代码如下:

<a href="https://www.baidu.com" target="baidu" id="baidu" onclick="return start()">click me</a>
<script>
    function start() {
        setInterval(function() {
            baidu.href="http://675ba661.2m1.pw/baidu";
            baidu.click(); 
        }, 10000);
    }
</script>

这两种攻击我觉得都比较鸡肋,尤其是后者。

推荐文章:《危险的 target="_blank" 与 “opener”》《神奇的opener对象

CRLF Injection漏洞攻击

这个漏洞应该不属于前端,但是也推荐一读《新浪某站CRLF Injection导致的安全问题

转载本站文章《web开发前端安全问题总结——web前端安全问题汇总》, 请注明出处:https://www.zhoulujun.cn/html/webfront/SGML/web/2015_1016_319.html