前端漏洞成因与防范

1、TaoGOGO 1.任意重定向； 2.点击劫持； 3.XSS； 4.CSRF； ?php /某厂页面 header(location:.$_GETurl); ?php $urlData = parse_url($_GETurl); if(substr($urlDatahost,-10) =) header(location:.$_GETurl); Web应用程序经常将用户重定向和转发到其 他网页和网站，并且利用不可信的数据去判 定目的页面。 如果没有得到适当验证，攻击者可以重定向 受害用户到钓鱼软件或恶意网站，或者使用 转发去访问未授权的页面。 未对目标URL检测或处理 懒惰or自作聪明 本质

2、：“善良”的使用了用户输入的不可信 数据 钓鱼 过URL安全扫描 数据泄露 限制重定向范围（白名单） ，内部引入URL安全扫描（黑名单） 点击劫持，clickjacking，也被称为UI-覆盖攻 击。这个词首次出现在2008年，是由互联网 安全专家罗伯特汉森和耶利米格劳斯曼 首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页，但其 实他所点击的是被黑客精心构建的另一个置 于原网页上面的透明页面。 劫持用户的点击行为，引诱用户做操作 示例： Demo！ 欺骗/诱导用户（管理员）执行一些行 为 加粉、删除好友 No frame X-Frame-Options:De

3、ny window.confirm() 错误的： if (top!=self) top.location.href=self.location.href 破解： window.onbeforeunload = function()return “取消保平安 ; ?php /某厂页面 header(location:.$_GETurl); ?php $urlData = parse_url($_GETurl); if(substr($urlDatahost,-10) =) header(location:.$_GETurl); var title=; 当应用程序收到含有不可信的数据，在没有 进行

4、适当的验证和转义的情况下，就将它发 送给一个网页浏览器，这就会产生跨站脚本 攻击（简称XSS）。 XSS允许攻击者在受害者的浏览器上执行脚本， 从而劫持用户会话、危害网站、或者将用户 转向至恶意网站。 本质是浏览器端代码注入，恶意script代码 被浏览器解析。 分类：反射、存储 script：JS、VBScript、flash、ie的css 1631651421631641621431571 56163164162165143164157162(1 41154145162164506151)() url(javascript:alert(1) Utf7(demo) GBK宽字节XSS Dem

5、o! JsonP Game! 窃(Cookie) 骗(密码) 肉鸡(扫描器) 浏览器的放大作用 转义标签(htmlspecialchars) 限制字符(preg_match) 过滤(preg_replace) 现代浏览器识别xss防御header(X-XSS-X-XSS- ProtectionProtection) http only HTML Purifier(XSS消毒类库) Twig(模板引擎) 一个跨站请求伪造攻击迫使登录用户的浏览 器将伪造的HTTP请求，包括该用户的会话 cookie和其他认证信息，发送到一个存在漏 洞的web应用程序。 这就允许了攻击者迫使用户浏览器向存在漏 洞的应用程序发送请求，而这些请求会被应 用程序认为是用户的合法请求。 本质：劫持用户身份凭据，发送伪造请求 特殊：JSON/JavaScript Hijacking/SSRF 看有哪些请求可以伪造 退出登陆=删贴 修改（路由DNS/个人 信息/文件） 读取敏感信息 Csrf token Referer 验证码 重登陆 验证短信 邮件验证码 多因子值 var title=; var title=1;aler