安全测试，CSRF, XXS

2024-01-04 10:31:40

【浏览器同源问题，如果支持跨域，则会导致CSRF(cross-site request forgery)跨站请求伪造】

【为什么不支持跨域，浏览器的同源策略：如果两个URL的protocol、port和host都相同的话，则这两个URL是同源】

如果支持跨域，则会出现出现一些危险场景

比如CSRF攻击，跨站请求伪造(cross-site request forgery)，攻击者诱惑受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求，利用受害者在被攻击网站以获取的注册凭证（coockie,,,),绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。

常见类型的跨站请求伪造CSRF：

get型CSRF：只需要一个HTTP请求

post型CSRF：自动提交一个表单

链接型CSRF：用户需要点开一个链接，这种类型通常是在论坛中发布的图片中嵌入恶意链接，或者以广告的形式诱导用户中招，攻击者通常会以比较夸张的词语诱骗用户点击

针对这两点，我们可以专门制定防护策略，如下：

Set-Cookie响应头新增Samesite，用来标明这个 Cookie是个“同站 Cookie”，同站Cookie只能作为第一方Cookie，不能作为第三方Cookie。

相关文档：https://tech.meituan.com/2018/10/11/fe-security-csrf.html

【XXS攻击Cross-Site Scripting（跨站脚本攻击）】

XSS 有哪些注入的方法：

在 HTML 中内嵌的文本中，恶意内容以 script 标签形成注入。
在内联的 JavaScript 中，拼接的数据突破了原本的限制（字符串，变量，方法名等）。
在标签属性中，恶意内容包含引号，从而突破属性值的限制，注入其他属性或者标签。
在标签的 href、src 等属性中，包含 javascript: 等可执行代码。
在 onl oad、onerror、onclick 等事件中，注入不受控制代码。
在 style 属性和标签中，包含类似 background-image:url("javascript:..."); 的代码（新版本浏览器已经可以防范）。
在 style 属性和标签中，包含类似 expression(...) 的 CSS 表达式代码（新版本浏览器已经可以防范）。

总之，如果开发者没有将用户输入的文本进行合适的过滤，就贸然插入到 HTML 中，这很容易造成注入漏洞。攻击者可以利用漏洞，构造出恶意的代码指令，进而利用恶意代码危害数据安全。

存储型 XSS 的攻击步骤：

这种攻击常见于带有用户保存数据的网站功能，如论坛发帖、商品评论、用户私信等。

反射型 XSS 的攻击步骤：

反射型 XSS 跟存储型 XSS 的区别是：存储型 XSS 的恶意代码存在数据库里，反射型 XSS 的恶意代码存在 URL 里。

反射型 XSS 漏洞常见于通过 URL 传递参数的功能，如网站搜索、跳转等。

由于需要用户主动打开恶意的 URL 才能生效，攻击者往往会结合多种手段诱导用户点击。

POST 的内容也可以触发反射型 XSS，只不过其触发条件比较苛刻（需要构造表单提交页面，并引导用户点击），所以非常少见。

DOM 型 XSS 的攻击步骤：

DOM 型 XSS 跟前两种 XSS 的区别：DOM 型 XSS 攻击中，取出和执行恶意代码由浏览器端完成，属于前端 JavaScript 自身的安全漏洞，而其他两种 XSS 都属于服务端的安全漏洞。

相关文档：https://tech.meituan.com/2018/09/27/fe-security.html

码农公寓