WEB 應(yīng)用威脅有哪些？

在之前的小節(jié)中，我們談到網(wǎng)絡(luò)的整個鏈路很長，每一個環(huán)節(jié)都有可能存在危險。這種威脅可能是物理硬件，操作系統(tǒng)，操作系統(tǒng)上面的軟件漏洞，協(xié)議漏洞，甚至是人的某些行為導(dǎo)致，場景非常多而本節(jié)主要聚焦 Web 層面的安全問題。

1. Web 安全簡介

Web 安全是個大課題，面對層出不求的黑客漏洞，個人能力很有限制，所以這邊介紹一個平臺 國家信息安全漏洞共享平臺，可以到上面注冊個賬號，并訂閱漏洞信息報送。

針對各類漏洞筆者歸類了 3 個方面：1. 注入與欺騙；2. 編程代碼邏輯缺陷；3. 服務(wù)器問題；

2. 注入與欺騙

注入一般是將惡意代碼以參數(shù)的形式傳入系統(tǒng)，并誘使系統(tǒng)或者用戶手動觸發(fā)代碼事件。欺騙通常是偽造某個客戶端身份去訪問服務(wù)器。

2.1 會話模擬

會話標(biāo)識

因為 Http 是無狀態(tài)協(xié)議，服務(wù)端為了區(qū)別不同請求分別來自哪個用戶，一般借助的是 Session 和 Cookies。Session 的數(shù)據(jù)存儲在服務(wù)端，而 Cookies 存儲在客戶端。
Cookies 以鍵值對的方式存儲在瀏覽器中，設(shè)置 Cookies 的時候如果指定了過期時間，對應(yīng)的值就會寫到本地磁盤中，時間到了自動剔除。如果沒有設(shè)置過期時間，它的生命周期就是瀏覽器關(guān)閉了就消失了。
Session 雖然存儲在服務(wù)端，但是它的 SessionId 也存了一份在客戶端的 Cookies 中的，并且它的生命周期隨著瀏覽器的關(guān)閉而消失。Http 有個機(jī)制：請求的時候會把瀏覽器中當(dāng)前域名對應(yīng)作用域下的所有 Cookies 都發(fā)送到出去，所以同一個作用域下的 Cookies 對象不要太多，會影響每次請求的帶寬。服務(wù)端就能從請求中拿到 SessionId ，從而查出具體的 Session 對象。

模擬會話

在了解了會話標(biāo)識的過程后，我們發(fā)現(xiàn)只要拿到了用戶的 SessionId 就能很容易的假冒用戶的身份去與服務(wù)端交互。

場景

場景1：開發(fā)中我們會用 Http 請求工具，如 PostMan 去調(diào)用我的接口，驗證接口的出入?yún)ⅰＨ绻到y(tǒng)需要登錄才能訪問，我們比較簡便的做法是用瀏覽器先登錄，然后將瀏覽器的 SessionId 設(shè)置到 PostMan 中，此時接口就能訪問了。

場景2：瀏覽器的 SessionId 自己能容易獲得，但是別人要拿到還是相對困難的，于是有一種名為 CSRF 跨站點請求偽造(Cross—Site Request Forgery) 的攻擊出現(xiàn)。用戶登錄 A 網(wǎng)站，然后又打開了另一個標(biāo)簽頁訪問 B 網(wǎng)站，如果此時 B 中隱藏了 A 網(wǎng)站某個請求的鏈接，到用戶點擊了，就會以當(dāng)前用戶的身份去觸發(fā)對應(yīng)的事件。

2.2 跨站腳本攻擊（XSS）

XSS 跨站腳本攻擊（Cross-site scripting）使用到的技術(shù)主要為 HTML 和 Javascript 腳本。
攻擊者將對客戶端有危害的代碼放到服務(wù)器上作為一個網(wǎng)頁內(nèi)容，用戶不經(jīng)意打開此網(wǎng)頁時，這些惡意代碼會注入到用戶的瀏覽器中并執(zhí)行，從而使用戶受到攻擊。一般而言，利用跨站腳本攻擊，攻擊者可竊取會話 Cookie，從而獲得用戶的隱私信息，甚至包括密碼等敏感信息。

2.3 SQL 注入

Web程序代碼中對于用戶提交的參數(shù)未做過濾就直接放到SQL語句中執(zhí)行，導(dǎo)致參數(shù)中的特殊字符打破了SQL語句原有邏輯，黑客可以利用該漏洞執(zhí)行任意SQL語句。
場景：

2.4 域名劫持

我們通過域名訪問某個網(wǎng)站的時候，需要 DNS 域名解析系統(tǒng)幫忙解析出對應(yīng)服務(wù)器的 IP 地址。如果域名服務(wù)器收到攻擊，那黑客就可以將我們的域名任意解析到另一個服務(wù)器過去了。當(dāng)然也可能是直接通過病毒軟件修改我們本地的 hosts 文件。

3. 編程代碼邏輯缺陷

3.1 敏感數(shù)據(jù)依賴前端參數(shù)

系統(tǒng)中的重要參數(shù)需要后臺重新計算，如商品購買的價格，限時購買中的時間等，對客戶端的輸入保持警惕。

3.2 接口限制問題

場景1： 登錄的接口失敗沒有次數(shù)限制，會被暴力破解。
場景2： 短信發(fā)送的接口沒有次數(shù)限制，容易被濫用，造成損失，甚至被非法分子用來做短信轟炸。

3.3 第三方依賴包的漏洞問題

我們代碼工程里面會引入很多第三方依賴包，整個系統(tǒng)的安全性就像漏斗效應(yīng)，一旦某個依賴包被發(fā)現(xiàn)漏洞，我們的整個系統(tǒng)也等于存在威脅邊緣。
例如下面常見的一些依賴包

1. struct
2. fastjson
3. httpclient
4. apache commons
5. spring
6. 等等

3.4 權(quán)限控制問題

場景1： 權(quán)限只在前端設(shè)置，接口沒有做校驗，了解 HTML 的人很容易可以將某些隱藏的按鈕顯示出來，從而觸發(fā)對應(yīng)的功能。

4. 服務(wù)器問題

4.1 服務(wù)器信息泄露

• SSH 密碼泄露
• WEB 控制端密碼泄露（阿里，騰訊，百度等控制臺，寶塔控制臺等）
• IP 地址 ，操作系統(tǒng)信息

4.2 軟件漏洞

系統(tǒng)上面安裝的軟件存在漏洞，被探測工具掃描到，就可能利用你這個漏洞入侵你的操作系統(tǒng)。

4.3 DDOS攻擊

DDOS（Distributed Denial of Service）也是一種經(jīng)典的攻擊模式，它不是利用服務(wù)器存在什么漏洞，而是直接粗狂的用大流量來訪問你的網(wǎng)站，使你的網(wǎng)站承受不了這么多流量而崩潰。這種模式有時候還挺難處理的，因為流量的來源可能是一種變化的，都沒有固定 IP 防不勝防。而這些攻擊你的電腦可能是來自各地的私人電腦，只是被黑客利用了的傀儡機(jī)。

5. 小結(jié)

網(wǎng)絡(luò)威脅與網(wǎng)絡(luò)安全是一個不斷演化的過程，通過學(xué)習(xí)上面的一些經(jīng)典場景，可以了解到威脅的主要入侵方式。雖然很多久的漏洞都被瀏覽器、協(xié)議、軟件框架優(yōu)化了，但是新變種的入侵方式往往也是舊模式上面的創(chuàng)新，畢竟理論基礎(chǔ)是逃不開的。