Web应用安全

名词

• 信息安全： CIA，具体为机密性（数据库攻击），完整性（请求劫持），可用性（分布式DDoS）。另外还有可审计行（日志）、不可抵赖性（id）等
• OWASP： 专门研究的组织
• 蠕虫病毒： 注入脚本，快速自我传播

常见Web攻击方式

XSS

跨站脚本攻击(Cross Site Scripting)，存储型攻击

• 原因： 在自己的文章中插入一段脚本，该脚本发送请求，会携带浏览器的cookie，该cookie的信息就会被发送到我的服务器中。
• 危害： 盗取cookie、窃取敏感信息、恶意敏感操作、执行钓鱼攻击
• 防御： httpOnly、CSP、输出HTML编码、特殊字符转义

CSRF

跨站请求伪造(Cross-site request forgery)

• 原因： 将请求塞到img等静态资源中默许加载。
• 防御： 交互方面，增加验证码流程等。接口方面，增加RBAC权限控制，

SQL注入

• 原因： 输入端拼凑SQL语句成完整SQL语句，在数据库中执行了。
• 危害： 会导致留后门、数据劫持
• 防御： 预编译、数据校验、禁用root

常见逻辑漏洞

• 数据未校验： 输入负数兑换奖品场景
• 权限未校验： 越权调接口
• 弱口令： 默认密码未修改，密码规则过于简易

防御原则设计

• 纵深防御原则： 不依赖其他层的安全
• 第三方组件： 记录版本号
• 客户端参数不可信原则