网络安全:攻击和防御练习(全战课), DDos压力测试
XSS 跨站脚本攻击:
Cross-site scripting(简称xss)跨站脚本。
一种网站的安全漏洞的攻击,代码注入攻击的一种。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
例子:
<script>
$.ajax({
url: $(location).attr('href') + "/comments",
method: "POST",
data: { comment : { content: "啊哈哈哈~你看看你! (σ゚∀゚)σ゚∀゚)σ゚∀゚)σ" } },
dataType: "JSON"
})
</script>
url: window.location.href + "/comments" 生成"http://localhost:3000/events/1/comments"
这主要是因为在views/events/show.html.erb中:
<% raw comment.content%>这行代码中有raw()方法
这个方法会输出所有字符,不会放过tag标签。去掉raw()后,content两边加上引号变为字符串。
但这样就不能插入img等有用的tag了。这时可以使用sanitize()方法。
str.html_safe方法
跨站请求伪造 Cross-site request forgery
也称为one-click attack, 简称CSRF或XSRF.
是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
例子:
在任意位置插入恶意代码:如
<img src="/events/92/comments/522/highlight"> 伪装成是用户发送的请求。
防御方法:添加校验token
token是在非get请求中使用。因此需要看代码中关于修改数据库的请求,是否是用了get请求,如果是必须改成非get请求。这样img就不能攻击了。
Rails默认带了protect_from_forgery with: :exception ,⚠️5.2隐藏了这行code。
1. 这样在 Rails 产生的表单form中,就有带这个参数 authenticity_token。
表单的提交就会进行token验证
<form class="new_comment" id="new_comment" action="/events/2/comments" accept-charset="UTF-8" method="post">
<input name="utf8" type="hidden" value="✓">
<input type="hidden" name="authenticity_token" value="fMv3c2b177kqsy/LuDIARp+RaQWJtBHwfQkbEV8j5wqNVFFSBqvcotvkeV07hiQpWsQY1RIEdpVMvE4vysEHiA==">
<div class="form-group">
<label for="comment_content">Content</label>
<textarea class="form-control" name="comment[content]" id="comment_content"></textarea>
</div>
<div class="form-group">
<input type="submit" name="commit" value="Comment" class="btn btn-primary" data-disable-with="Comment">
</div>
</form>
2. 如果是Rails.ajax中的请求:就会抓 meta 中的 csrf-token
参数附加到请求中。和form中的value是一样的。
Rails.ajax()方法,会抓取csrfToken。校验token。
在csrf.coffee中:
csrfToken = Rails.csrfToken = ->
meta = document.querySelector('meta[name=csrf-token]')
meta and meta.content
得到:
<meta name="csrf-token" content="fMv3c2b177kqsy/LuDIARp+RaQWJtBHwfQkbEV8j5wqNVFFSBqvcotvkeV07hiQpWsQY1RIEdpVMvE4vysEHiA==">
这样,黑客在其他网站上挖的坑因为没有这个authenticity_token或csrf-token(两者值一样),他发送的请求就会被挡住。
SQL Injection 数据库注入攻击structured query language.
@comments = @comments.where( "comments.content LIKE '%#{params[:keyword]}%'")
转换:
SELECT "comments".* FROM "comments" WHERE "comments"."event_id" = ? AND (comments.content LIKE '%这是搜寻关键字%') [["event_id", 95]]
如果收到的参数是
sorry'); DELETE * FROM comments; --
转换为sql就成了3句代码:
SELECT "comments".* FROM "comments" WHERE "comments"."event_id" = ? AND (comments.content LIKE '%sorry'); DELETE * FROM comments; --%') [["event_id", 95]]
第一句是查询,第二句就成了删除了!!, --后面代表了注释。
问题的原因:是查询语法使用string造成的。
这样单引号,\backslash就会起到了它的作用。
可以使用quote_string(s)方法来给一个string逸出单引号和反斜杠。
keyword = ActiveRecord::Base::connection.quote_string( params[:keyword] )
又因为查询语法where经常用到,所以增加了简单的写法, 自动逸出:
@comments = @comments.where( "comments.content LIKE ?", "%#{params[:keyword]}%")
@registrations = Registraion.where( :status => params[:status] ) # Hash 写法,这是安全的
@registrations = Registraion.where( "status = ?", params[:status] ) # Array 写法,这是安全的
但order等语法,没做自动逸出: (点击查看所有需要注意的sql语法)
可以使用白名单:
app/views/events/show.html.erb
<p>
<%= link_to "新留言在上", event_path(@event, :sort => "id DESC") %>
<%= link_to "舊留言在上", event_path(@event, :sort => "id ASC") %>
</p>
app/controllers/events_controller.rb
- if params[:sort] # 本来这样有漏洞,你太相信用户传进来的参数了
+ if params[:sort] && ["id DESC", "id ASC"].include?(params[:sort]) # 只有白名单内的参数可以用
@comments = @comments.order(params[:sort])
end
Delete_all和 Destroy_all
都要小心使用!。它们都接受和find()方法相同的条件参数。参数可以是string, array, hash。但Strings不会被脱逸, 所以安全的写法是只用array, hash做参数。
Destroy_all因为会实例化记录并调用destroy方法并调用callbacks,相对比delete_all安全。
params[:admin] = "') OR 1=1--'"
User.destroy_all(["id = ? AND admin = '#{params[:admin]}", params[:id]])
生成:SELECT "users".* FROM "users" WHERE (id = NULL AND admin = '') OR 1=1--')
这会删除所有users。
Exists?()方法。
他用来判断一条记录是否存在。参数一般是一个主键。如果参数是array或hash,它被当成一个条件option。
为了安全,参数最好是一个integer或string。
Group()方法
他可以接受任意的SQL string。因此
params[:group] = "name UNION SELECT * FROM users"
User.where(:admin => false).group(params[:group])
生成 :
SELECT "users".* FROM "users" WHERE "users"."admin" = ? GROUP BY name UNION SELECT * FROM users
因为union了另外一条sql,因此返回所有的users。
Having()方法
容易遭到Sql injection攻击,因为它一般在一条rails查询语句的最后。
Joins方法
它可以接收一个关联数组或直接的SQl string。因此也可能会遭到注入攻击。
Select(*fields)方法
因为select子句一般在一个查询的开头,所以几乎任何sql都可以注入并生效。
params[:column] = "* FROM users WHERE admin = 't' ;"
User.select(params[:column])
Query
Result:返回的是一个关系对象。
select有2种用法:
- 修改select声明,检索指定的fields。返回一个对象关系a relation object。可以在后面添加其他查询方法。
- 接受一个块{}, 类似Array#select。从数据库中得到一个array对象的集合。
Pluck(*column_names)
从一个table中选择指定的column。接受任何Sql。所以容易收到注入攻击。返回一个array对象集合。
大量赋值(Mass Assignment)的漏洞
rails5增加了strong parameters
params.require(:XXX).permit(:column_name, ...)限定了可以传入什么参数。
但也要谨慎使用。关键的列,即使隐藏,也可以通过url修改。所以应该留意一个column是否是要传入的,如果不是,就别加入白名单。
如果hacker在chrome浏览器的inspect上修改参数,
log上会显示:Unpermitted parameter: role
破解加密 Cookie-based Session(太复杂,只了解了一下)
密匙不能外泄,如果外泄,必须马上更换。rails可以更换session的存储方法。
Module: Base64(defined in lib/base64.rb)
这个模块提供了binary data的编码和解码。
require "base64" enc = Base64.encode64('Send reinforcements')
# -> "U2VuZCByZWluZm9yY2VtZW50cw==\n"
plain = Base64.decode64(enc)
# -> "Send reinforcements"
这个模块提供了生成密码的算法。它包裹了OpenSSL library.
DoS 拒绝服务攻击
denial of service attack, distributed denial of service attack分布拒绝服务攻击。
对自己的网站叫做压力测试
安装wrk:(https://github.com/wg/wrk)
执行 brew install wrk
执行 wrk -t12 -c400 -d30s http://localhost:3000/products
t:thread
c: connection, HTTP连接的总数,每个thread处理 connections/threads个连接。
d: duration of the test 例子: 2s, 2m, 2h
如何防御ddos攻击:
可以使用gem 'rack-attack'
# In config/application.rb config.middleware.use Rack::Attack
然后新建config/initializers/rack_attack.rb
把这个网址的案例代码粘体过来https://github.com/kickstarter/rack-attack/wiki/Example-Configuration
还有很多具体设置。如果真的面料大量ddos攻击,必须购买专业的网络防火墙。百度安全,云盾ddos高防IP.
安全分析工具
gem 'brakeman'(4800✨) 一个静态分享工具。检查Rails程序的安全弱点。
group :development do
gem 'brakeman'
end
然后在程序根目录执行brakeman, 或者在非根目录执行 brakeman /path/to/rails/application
结果是参考,不代表一定是漏洞。需要逐条检查。
另外gem 也可能有安全漏洞,gem 'bundler-audit'可以检查(1700✨)
密码是如何存储的?
执行 irb
,然后输入以下代码实验看看:
require 'digest'
Digest::SHA1.hexdigest '12345678'
得到 "7c222fb2927d828af22f592134e8932480637c0d"
散列函数有一些特性:
- 相同的数据,每次都会得到一样的摘要
- 是单向的,无法逆推:只知道摘要的话,没有办法能够透过计算知道本来的数据长怎样。例如给你
7c222fb2927d828af22f592134e8932480637c0d
,没有算法可以逆推回来。除非有一个对照的字典
散列函数的用途:
可以用来比较两个文档是否相同,而无需实际比较文档内容:
1.git commit每次都会产生digest。不同的digest代表了不同的内容。
2.网络传档,也可以透过比较digest,看是否下载了完整的档案。
3.Rails中,Asset pipeline会将CSS和javascript压缩。档案就是透过散列函数产生的。
4.devise中的密码,也是使用散列函数生成的.
User model中,users table的实际字段是 t.string "encrypted_password"。用户注册时输入的密码在储存入数据库时会先变为散列函数,digest。数据库并不储存明码。
因此,数据库管理员也不会知道用户的真正密码。一旦数据库泄露,密码也安全。
判断一个网站是否使用明码做密码,可以请求忘记密码,看是否是邮寄给你源码还是重设。
推荐阅读阿里巴巴的网络安全专家所写的入门书:白帽子讲Web安全这本书
网络安全:攻击和防御练习(全战课), DDos压力测试的更多相关文章
- DDOS攻击与防御简单阐述,列出DDOS的攻击方法和防御方法
参考1:https://www.hi-linux.com/posts/50873.html#%E7%BD%91%E7%BB%9C%E5%B1%82-ddos-%E6%94%BB%E5%87%BB 什么 ...
- 浅谈Ddos攻击攻击与防御
EMail: jianxin#80sec.comSite: http://www.80sec.comDate: 2011-2-10From: http://www.80sec.com/ [ 目录 ]一 ...
- 通过DDOS攻击流程图来浅谈如何预防Ddos攻击与防御
DDOS攻击流程图 站长之家配图(来源:ppkj.net) 一 背景 在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题 ...
- 转载-浅谈Ddos攻击攻击与防御
EMail: jianxin#80sec.comSite: http://www.80sec.comDate: 2011-2-10From: http://www.80sec.com/ [ 目录 ]一 ...
- 从零学习安全测试,从XSS漏洞攻击和防御开始
WeTest 导读 本篇包含了XSS漏洞攻击及防御详细介绍,包括漏洞基础.XSS基础.编码基础.XSS Payload.XSS攻击防御. 第一部分:漏洞攻防基础知识 XSS属于漏洞攻防,我们要研究 ...
- CSRF的攻击与防御(转)
add by zhj:CSRF之所有发生,是因为http请求中会自动带上cookies,我的解决办法是:前端不要将数据放在cookie中,而是放在其它本地存储 (HTML5中称之为Web Storag ...
- 安全性测试入门:DVWA系列研究(一):Brute Force暴力破解攻击和防御
写在篇头: 随着国内的互联网产业日臻成熟,软件质量的要求越来越高,对测试团队和测试工程师提出了种种新的挑战. 传统的行业现象是90%的测试工程师被堆积在基本的功能.系统.黑盒测试,但是随着软件测试整体 ...
- DDoS 攻击与防御:从原理到实践
本文来自 网易云社区 . 可怕的 DDoS 出于打击报复.敲诈勒索.政治需要等各种原因,加上攻击成本越来越低.效果特别明显等趋势,DDoS 攻击已经演变成全球性的网络安全威胁. 危害 根据卡巴斯基 2 ...
- DDoS 攻击与防御:从原理到实践(上)
欢迎访问网易云社区,了解更多网易技术产品运营经验. 可怕的 DDoS 出于打击报复.敲诈勒索.政治需要等各种原因,加上攻击成本越来越低.效果特别明显等趋势,DDoS 攻击已经演变成全球性的网络安全威胁 ...
随机推荐
- MP3 ID3信息编辑器(附源码)
练习WPF时写的编辑MP3 ID3信息的小工具,方便对歌曲的统一管理,同时增加了调用豆瓣音乐API获取专辑信息的功能:1.主界面: 2.没有ID3 信息的MP3歌曲: 3.点击自动获取,从豆瓣音乐获取 ...
- 每次收到的 HTTP 请求,就可以打开一个 SqlSession,返回一个响应,就关闭它
mybatis – MyBatis 3 | 入门 http://www.mybatis.org/mybatis-3/zh/getting-started.html 作用域(Scope)和生命周期 理解 ...
- 深究AngularJS——自定义服务详解(factory、service、provider)
前言 3种创建自定义服务的方式. Factory Service Provider 大家应该知道,AngularJS是后台人员在工作之余发明的,他主要应用了后台早就存在的分层思想.所以我们得了解下分 ...
- django的framework优化
1.优化framework的性能,解决restapi调用慢的问题 ①预加载,关联查询时做缓存,序列化前简单调用setup_eager_loading ,这个需要确定sql查询调用情况(根据数据库结构确 ...
- (windows下)tomcat优化--内存,并发.缓存三方面优化
一.内存 注: jdk1.8中废弃了-XX:PermSize和-XX:MaxPermSize的持久态(存放常量.静态变量区)配置, 多了一个元数据区(Metadata Space:默认为内存的0.2% ...
- 如何区分不同用户——Cookie/Session机制详解
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话.常用的会话跟踪技术是Cookie与Session.Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端 ...
- Spark提交应用程序之Spark-Submit分析
1.提交应用程序 在提交应用程序的时候,用到 spark-submit 脚本.我们来看下这个脚本: if [ -z "${SPARK_HOME}" ]; then export S ...
- ReactNative 环境配置
一直是从事iOS的开发,现在研究下mac环境下reatNative的环境配置: 1. 安装HomeBlew(OS系统上的一个安装包管理器,安装后可以方便后续安装包的安装.) 终端命令: ruby -e ...
- 3.1 Templates -- Handlerbars Basics(Handlerbars基础知识)
一.简介 Ember.js使用Handlerbars模板库来强化应用程序的用户界面.它就像普通的HTML,但也给你嵌入表达式去改变现实的内容. Ember使用Handlerbars并且用许多新特性去扩 ...
- Xcel 测试版使用手册
基于无任何文笔可言,所以直接上使用方法吧. 1.引用dll,如何引用dll请谷歌. 2.使用 //实例化对象 LT.XMLExcel.XlsxOption xOption = new LT.XMLEx ...