今天接續昨天的繼續學習網站的常見攻擊手法

常見攻擊手法

CSRF

跨站偽造請求攻擊 (Cross-site request forgery，CSRF)，又稱為 one-click attack 或者session riding一種挾制使用者在當前已登入的Web應用程式上執行非本意的操作的攻擊方法，利用使用者對網頁瀏覽器的信任

影響

• 欺騙使用者的瀏覽器，假冒其以使用者的名義執行操作，非使用者自願的行為
• 依照網站功能漏洞，造成不同程度的風險

預防

• 加上圖形驗證碼、簡訊驗證碼
• 新增不可預期的CSRF Token 機制
• cookie 設定 SameSite

SSRF

伺服器端請求偽造 (Server Side Request Forgery，SSRF)，攻擊者在沒有獲得系統權限的情況下,利用Server端主動發起請求,已獲得內網特定的資源

影響

• 穿透內網進行攻擊
• 内網資源(機敏性資料)被獲取

預防

• 避免目錄遍歷 ( Path Traversal ) 漏洞
• 權限檢查
• 針對使用的輸入或者接收到參數進行驗證

Clickjacking

使用<iframe>、<frame>、<object>，將目標網站載入到惡意網站，並且利用CSS技術隱藏或者偽裝成其他按鈕，誘騙使用者點擊

影響

• 誘騙使用者點擊非預期的內容，使用者受到不同程度的影響

預防

• X-Frame-Option，確保其內容不會嵌入到其他網站中，防止釣魚網站透過iframe來籤入自己的網站
• Content-Security-Polic 內容安全政策的frame-ancestors，禁止使用<frame>、<iframe>、object>

檔案上傳漏洞

攻擊者利用檔案上傳功能的漏洞，未做對應的檢查機制，導至可以上傳惡意檔案(例如木馬、病毒、惡意指令碼或者Webshell等)，進行系統攻擊

影響

• 造成系統或組織毀滅性的傷害
• 服務中斷
• 獲取系統的主控權
• 攻擊其他台機器

預防

• 上傳檔案前後檢查檔案類型與副檔名、檔案大小
• 定期檢查上傳後檔案的副檔名是否有異常
• 安裝防毒軟體，做及時的掃描並隔離
• 更改上傳檔案名稱，限制讀取權限

參考資料

• 讓我們來談談 CSRF
• [Day25]- 新手的Web系列CSRF
• 資安這條路 11 - [Injection] Cross-site request forgery ( CSRF )
• 網站安全? 伺服器端請求偽造 SSRF 攻擊 — 「項莊舞劍，意在沛公」
• 資安這條路 17 - [WebSecurity] 點擊劫持 clickjacking
• X-Frame-Options 回應標頭
• 內容安全策略
• Metasploitable 學習筆記-文件上傳漏洞( file upload) & Reverse Shell
• 檔案上傳保護— OPSWAT 推薦十個防止網路攻擊的最佳方法

如果有任何錯誤的地方歡迎提出。

後記

可以觀看我們團隊的鐵人發文喔~

• 打造你的主題地圖！Mapbox 也可以！(ft. React)
• 新手進化日記，從React至Redux Saga