WEB 應(yīng)用威脅有哪些？

在之前的小節(jié)中，我們談到網(wǎng)絡(luò)的整個(gè)鏈路很長(zhǎng)，每一個(gè)環(huán)節(jié)都有可能存在危險(xiǎn)。這種威脅可能是物理硬件，操作系統(tǒng)，操作系統(tǒng)上面的軟件漏洞，協(xié)議漏洞，甚至是人的某些行為導(dǎo)致，場(chǎng)景非常多而本節(jié)主要聚焦 Web 層面的安全問題。

1. Web 安全簡(jiǎn)介

Web 安全是個(gè)大課題，面對(duì)層出不求的黑客漏洞，個(gè)人能力很有限制，所以這邊介紹一個(gè)平臺(tái) 國家信息安全漏洞共享平臺(tái)，可以到上面注冊(cè)個(gè)賬號(hào)，并訂閱漏洞信息報(bào)送。

針對(duì)各類漏洞筆者歸類了 3 個(gè)方面：1. 注入與欺騙；2. 編程代碼邏輯缺陷；3. 服務(wù)器問題；

2. 注入與欺騙

注入一般是將惡意代碼以參數(shù)的形式傳入系統(tǒng)，并誘使系統(tǒng)或者用戶手動(dòng)觸發(fā)代碼事件。欺騙通常是偽造某個(gè)客戶端身份去訪問服務(wù)器。

2.1 會(huì)話模擬

會(huì)話標(biāo)識(shí)

因?yàn)?Http 是無狀態(tài)協(xié)議，服務(wù)端為了區(qū)別不同請(qǐng)求分別來自哪個(gè)用戶，一般借助的是 Session 和 Cookies。Session 的數(shù)據(jù)存儲(chǔ)在服務(wù)端，而 Cookies 存儲(chǔ)在客戶端。
Cookies 以鍵值對(duì)的方式存儲(chǔ)在瀏覽器中，設(shè)置 Cookies 的時(shí)候如果指定了過期時(shí)間，對(duì)應(yīng)的值就會(huì)寫到本地磁盤中，時(shí)間到了自動(dòng)剔除。如果沒有設(shè)置過期時(shí)間，它的生命周期就是瀏覽器關(guān)閉了就消失了。
Session 雖然存儲(chǔ)在服務(wù)端，但是它的 SessionId 也存了一份在客戶端的 Cookies 中的，并且它的生命周期隨著瀏覽器的關(guān)閉而消失。Http 有個(gè)機(jī)制：請(qǐng)求的時(shí)候會(huì)把瀏覽器中當(dāng)前域名對(duì)應(yīng)作用域下的所有 Cookies 都發(fā)送到出去，所以同一個(gè)作用域下的 Cookies 對(duì)象不要太多，會(huì)影響每次請(qǐng)求的帶寬。服務(wù)端就能從請(qǐng)求中拿到 SessionId ，從而查出具體的 Session 對(duì)象。

模擬會(huì)話

在了解了會(huì)話標(biāo)識(shí)的過程后，我們發(fā)現(xiàn)只要拿到了用戶的 SessionId 就能很容易的假冒用戶的身份去與服務(wù)端交互。

場(chǎng)景

場(chǎng)景1：開發(fā)中我們會(huì)用 Http 請(qǐng)求工具，如 PostMan 去調(diào)用我的接口，驗(yàn)證接口的出入?yún)?。如果系統(tǒng)需要登錄才能訪問，我們比較簡(jiǎn)便的做法是用瀏覽器先登錄，然后將瀏覽器的 SessionId 設(shè)置到 PostMan 中，此時(shí)接口就能訪問了。

場(chǎng)景2：瀏覽器的 SessionId 自己能容易獲得，但是別人要拿到還是相對(duì)困難的，于是有一種名為 CSRF 跨站點(diǎn)請(qǐng)求偽造(Cross—Site Request Forgery) 的攻擊出現(xiàn)。用戶登錄 A 網(wǎng)站，然后又打開了另一個(gè)標(biāo)簽頁訪問 B 網(wǎng)站，如果此時(shí) B 中隱藏了 A 網(wǎng)站某個(gè)請(qǐng)求的鏈接，到用戶點(diǎn)擊了，就會(huì)以當(dāng)前用戶的身份去觸發(fā)對(duì)應(yīng)的事件。

2.2 跨站腳本攻擊（XSS）

XSS 跨站腳本攻擊（Cross-site scripting）使用到的技術(shù)主要為 HTML 和 Javascript 腳本。
攻擊者將對(duì)客戶端有危害的代碼放到服務(wù)器上作為一個(gè)網(wǎng)頁內(nèi)容，用戶不經(jīng)意打開此網(wǎng)頁時(shí)，這些惡意代碼會(huì)注入到用戶的瀏覽器中并執(zhí)行，從而使用戶受到攻擊。一般而言，利用跨站腳本攻擊，攻擊者可竊取會(huì)話 Cookie，從而獲得用戶的隱私信息，甚至包括密碼等敏感信息。

2.3 SQL 注入

Web程序代碼中對(duì)于用戶提交的參數(shù)未做過濾就直接放到SQL語句中執(zhí)行，導(dǎo)致參數(shù)中的特殊字符打破了SQL語句原有邏輯，黑客可以利用該漏洞執(zhí)行任意SQL語句。
場(chǎng)景：

2.4 域名劫持

我們通過域名訪問某個(gè)網(wǎng)站的時(shí)候，需要 DNS 域名解析系統(tǒng)幫忙解析出對(duì)應(yīng)服務(wù)器的 IP 地址。如果域名服務(wù)器收到攻擊，那黑客就可以將我們的域名任意解析到另一個(gè)服務(wù)器過去了。當(dāng)然也可能是直接通過病毒軟件修改我們本地的 hosts 文件。

3. 編程代碼邏輯缺陷

3.1 敏感數(shù)據(jù)依賴前端參數(shù)

系統(tǒng)中的重要參數(shù)需要后臺(tái)重新計(jì)算，如商品購買的價(jià)格，限時(shí)購買中的時(shí)間等，對(duì)客戶端的輸入保持警惕。

3.2 接口限制問題

場(chǎng)景1： 登錄的接口失敗沒有次數(shù)限制，會(huì)被暴力破解。
場(chǎng)景2： 短信發(fā)送的接口沒有次數(shù)限制，容易被濫用，造成損失，甚至被非法分子用來做短信轟炸。

3.3 第三方依賴包的漏洞問題

我們代碼工程里面會(huì)引入很多第三方依賴包，整個(gè)系統(tǒng)的安全性就像漏斗效應(yīng)，一旦某個(gè)依賴包被發(fā)現(xiàn)漏洞，我們的整個(gè)系統(tǒng)也等于存在威脅邊緣。
例如下面常見的一些依賴包

1. struct
2. fastjson
3. httpclient
4. apache commons
5. spring
6. 等等

3.4 權(quán)限控制問題

場(chǎng)景1： 權(quán)限只在前端設(shè)置，接口沒有做校驗(yàn)，了解 HTML 的人很容易可以將某些隱藏的按鈕顯示出來，從而觸發(fā)對(duì)應(yīng)的功能。

4. 服務(wù)器問題

4.1 服務(wù)器信息泄露

• SSH 密碼泄露
• WEB 控制端密碼泄露（阿里，騰訊，百度等控制臺(tái)，寶塔控制臺(tái)等）
• IP 地址 ，操作系統(tǒng)信息

4.2 軟件漏洞

系統(tǒng)上面安裝的軟件存在漏洞，被探測(cè)工具掃描到，就可能利用你這個(gè)漏洞入侵你的操作系統(tǒng)。

4.3 DDOS攻擊

DDOS（Distributed Denial of Service）也是一種經(jīng)典的攻擊模式，它不是利用服務(wù)器存在什么漏洞，而是直接粗狂的用大流量來訪問你的網(wǎng)站，使你的網(wǎng)站承受不了這么多流量而崩潰。這種模式有時(shí)候還挺難處理的，因?yàn)榱髁康膩碓纯赡苁且环N變化的，都沒有固定 IP 防不勝防。而這些攻擊你的電腦可能是來自各地的私人電腦，只是被黑客利用了的傀儡機(jī)。

5. 小結(jié)

網(wǎng)絡(luò)威脅與網(wǎng)絡(luò)安全是一個(gè)不斷演化的過程，通過學(xué)習(xí)上面的一些經(jīng)典場(chǎng)景，可以了解到威脅的主要入侵方式。雖然很多久的漏洞都被瀏覽器、協(xié)議、軟件框架優(yōu)化了，但是新變種的入侵方式往往也是舊模式上面的創(chuàng)新，畢竟理論基礎(chǔ)是逃不開的。