title: CSRF和XSS学习
date: 2020-07-16 20:36:22
tags: 网络安全
一、CSRF
1.1 CSRF概念
恶意软件让浏览器向已完成用户身份认证的网站发起请求,并执行有害的操作,就是跨站请求伪造攻击。
1.2例子
假如 Alice 在 bank.com 向 Bob 汇款10000, 那么攻击将会由以下两步骤组成:
- 创建一个 URL 或者 script
- 利用社交工程欺骗 Alice 执行代码
GET 场景
如果 bank.com 把查询参数放到 URL 中, 那么 Alice 向 Bob 转账的操作可以简化为如下:
GET http://bank.com/transfer.do?acct=BOB&amount=100 HTTP/1.1
Maria 根据 bank.com 网站请求的结构, 将 Bob 名字替换为她自己的, 还把金额变大:
http://bank.com/transfer.do?acct=MARIA&amount=100000
那么这个充满恶意的 URL ,被 Maria 放到 a 标签中, 并且利用欺骗语言吸引 Alice 点击:
<a href="http://bank.com/transfer.do?acct=MARIA&amount=100000">View my Pictures!</a>
或者放到一个 长度和宽度都为0 的图片的src 中(图片不用用户点击, 自己就发起请求):
<img src="http://bank.com/transfer.do?acct=MARIA&amount=100000" width="0" height="0" border="0">
如果这张图片放到邮件中, Alice 根本就不会发现什么. 然而浏览器还是会将请求提交到 bank.com 的后台中.
一个真实的事件是发生在2008 年的 uTorrent exploit
POST 场景
假设 bank.com 现在使用 post 请求来传递参数的, 那么这个请求可以简化为:
POST http://bank.com/transfer.do HTTP/1.1
...
acct=BOB&amount=100
这种情况下, a 标签和 img 标签都无法发送 post 请求, 但是可以使用 FORM 来完成:
<form action="<nowiki>http://bank.com/transfer.do</nowiki>" method="POST">
<input type="hidden" name="acct" value="MARIA"/>
<input type="hidden" name="amount" value="100000"/>
<input type="submit" value="View my pictures"/>
</form>
我们还可以利用 JavaScript 来让文档载入的时候就发送这个请求:
<body onload="document.forms[0].submit()">
<form action="..." method="POST">
.....
</form>
其他的 HTTP 请求方法场景
假设现在银行使用的是 PUT 将数据放到一个JSON 中发送到后台中:
PUT http://bank.com/transfer.do HTTP/1.1
{
"acct":"BOB", "amount":100 }
那么我们可以利用内嵌的 JavaScript :
<script>
function put() {
var x = new XMLHttpRequest();
x.open("PUT","http://bank.com/transfer.do",true);
x.setRequestHeader("Content-Type", "application/json");
x.send(JSON.stringify({
"acct":"BOB", "amount":100}));
}
</script>
<body onload="put()">
幸运的是这段 PUT 请求并不会发送, 因为 同源策略 的限制. 除非你的后台设置了
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: PUT
1.3 防御
使用 state 参数,它是一个随机值的参数。
在OAuth2.0的授权码模式中,第三方应用(如淘宝请求QQ,淘宝就是第三方应用)请求授权码的时候需要发一个随机的state参数,
同时他会有一个回调地址用来接收授权码,认证服务器会把授权码和一开始接受的state发送给第三方应用的回调地址中。(也可能是一个接口)
在这一步就可以通过state值来判断该授权码是不是自己的。就可以有效抵御CSRF攻击。
二、XSS攻击
人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。
2.1 特点
与钓鱼攻击相比,XSS攻击所带来的危害更大,通常具有如下特点:
①由于XSS攻击在用户当前使用的应用程序中执行,用户将会看到与其有关的个性化信息,如账户信息或“欢迎回来”消息,克隆的Web站点不会显示个性化信息。
②通常,在钓鱼攻击中使用的克隆Web站点一经发现,就会立即被关闭。
③许多浏览器与安全防护软件产品都内置钓鱼攻击过滤器,可阻止用户访问恶意的克隆站点。
④如果客户访问一个克隆的Web网银站点,银行一般不承担责任。但是,如果攻击者通过银行应用程序中的XSS漏洞攻击了银行客户,则银行将不能简单地推卸责任。
2.2 防御方法
1、HTML节点内容的防御
将用户输入的内容进行转义:
var escapeHtml = function(str) {
str = str.replace(/</g,'<');
str = str.replace(/</g,'>');
return str;
}
ctx.render('index', {comments, from: escapeHtml(ctx.query.from || '')});
2、HTML属性的防御
对空格,单引号,双引号进行转义
var escapeHtmlProperty = function (str) {
if(!str) return '';
str = str.replace(/"/g,'&quto;');
str = str.replace(/'/g,''');
str = str.replace(/ /g,' ');
return str;
}
ctx.render('index', {posts, comments,
from:ctx.query.from || '',
avatarId:escapeHtmlProperty(ctx.query.avatarId || '')});
3、JavaScript的防御
对引号进行转义
var escapeForJS = function(str){
if(!str) return '';
str = str.replace(/\\/g,'\\\\');
str = str.replace(/"/g,'\\"');
return str;
}
4、富文本的防御
富文本的情况非常的复杂,js可以藏在标签里,超链接url里,何种属性里。
<script>alert(1)</script>
<a href="javascript:alert(1)"></a>
<img src="abc" onerror="alert(1)"/>
所以我们不能过用上面的方法做简单的转义。因为情况实在太多了。
现在我们换个思路,
提供两种过滤的办法:
1)黑名单
我们可以把
2)白名单
这种方式只允许部分标签和属性。不在这个白名单中的,一律过滤掉它。但是这种方式编码有点麻烦,我们需要去解析html树状结构,然后进行过滤,把过滤后安全的html在输出。
这里提供一个包,帮助我们去解析html树状结构,它使用起来和jquery非常的类似。
npm install cheerio --save
var xssFilter = function(html) {
if(!html) return '';
var cheerio = require('cheerio');
var $ = cheerio.load(html);
//白名单
var whiteList = {
'html' : [''],
'body' : [''],
'head' : [''],
'div' : ['class'],
'img' : ['src'],
'a' : ['href'],
'font':['size','color']
};
$('*').each(function(index,elem){
if(!whiteList[elem.name]) {
$(elem).remove();
return;
}
for(var attr in elem.attribs) {
if(whiteList[elem.name].indexOf(attr) === -1) {
$(elem).attr(attr,null);
}
}
});
return $.html();
}
console.log(xssFilter('<div><font color="red">你好</font><a href="http://www.baidu.com">百度</a><script>alert("哈哈你被攻击了")</script></div>'));
5、CSP(Content Security Policy)
内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站中是否可以包含某来源内容。默认配置下不允许执行内联代码(
示例:
1.只允许本站资源
Content-Security-Policy: default-src ‘self’
2.允许本站的资源以及任意位置的图片以及 https://segmentfault.com 下的脚本。
Content-Security-Policy: default-src ‘self’; img-src *;
script-src https://segmentfault.com