常見六大Web安全攻防解析

作者：浪里行舟 2019-02-14 19:28:42

在互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)安全與個(gè)人隱私受到了前所未有的挑戰(zhàn)，各種新奇的攻擊技術(shù)層出不窮。如何才能更好地保護(hù)我們的數(shù)據(jù)？本文主要側(cè)重于分析幾種常見的攻擊的類型以及防御的方法。

前言

一、XSS

XSS (Cross-Site Scripting)，跨站腳本攻擊，因?yàn)榭s寫和 CSS重疊，所以只能叫 XSS。跨站腳本攻擊是指通過存在安全漏洞的Web網(wǎng)站注冊(cè)用戶的瀏覽器內(nèi)運(yùn)行非法的HTML標(biāo)簽或JavaScript進(jìn)行的一種攻擊。

跨站腳本攻擊有可能造成以下影響:

利用虛假輸入表單騙取用戶個(gè)人信息。
利用腳本竊取用戶的Cookie值，被害者在不知情的情況下，幫助攻擊者發(fā)送惡意請(qǐng)求。
顯示偽造的文章或圖片。

XSS 的原理是惡意攻擊者往 Web 頁面里插入惡意可執(zhí)行網(wǎng)頁腳本代碼，當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中 Web 里面的腳本代碼會(huì)被執(zhí)行，從而可以達(dá)到攻擊者盜取用戶信息或其他侵犯用戶安全隱私的目的。

XSS 的攻擊方式千變?nèi)f化，但還是可以大致細(xì)分為幾種類型。

1.非持久型 XSS（反射型 XSS ）

非持久型 XSS 漏洞，一般是通過給別人發(fā)送帶有惡意腳本代碼參數(shù)的 URL，當(dāng) URL 地址被打開時(shí)，特有的惡意代碼參數(shù)被 HTML 解析、執(zhí)行。

舉一個(gè)例子，比如頁面中包含有以下代碼：

<select> 
    <script> 
        document.write('' 
            + '<option value=1>' 
            +     location.href.substring(location.href.indexOf('default=') + 8) 
            + '</option>' 
        ); 
        document.write('<option value=2>English</option>'); 
    </script> 
</select>

攻擊者可以直接通過 URL (類似：https://xxx.com/xxx?default=<script>alert(document.cookie)</script>) 注入可執(zhí)行的腳本代碼。不過一些瀏覽器如Chrome其內(nèi)置了一些XSS過濾器，可以防止大部分反射型XSS攻擊。

非持久型 XSS 漏洞攻擊有以下幾點(diǎn)特征：

即時(shí)性，不經(jīng)過服務(wù)器存儲(chǔ)，直接通過 HTTP 的 GET 和 POST 請(qǐng)求就能完成一次攻擊，拿到用戶隱私數(shù)據(jù)。
攻擊者需要誘騙點(diǎn)擊,必須要通過用戶點(diǎn)擊鏈接才能發(fā)起
反饋率低，所以較難發(fā)現(xiàn)和響應(yīng)修復(fù)
盜取用戶敏感保密信息

為了防止出現(xiàn)非持久型 XSS 漏洞，需要確保這么幾件事情：

Web 頁面渲染的所有內(nèi)容或者渲染的數(shù)據(jù)都必須來自于服務(wù)端。
盡量不要從 URL，document.referrer，document.forms 等這種 DOM API 中獲取數(shù)據(jù)直接渲染。
盡量不要使用 eval, new Function()，document.write()，document.writeln()，window.setInterval()，window.setTimeout()，innerHTML，document.createElement() 等可執(zhí)行字符串的方法。
如果做不到以上幾點(diǎn)，也必須對(duì)涉及 DOM 渲染的方法傳入的字符串參數(shù)做 escape 轉(zhuǎn)義。
前端渲染的時(shí)候?qū)θ魏蔚淖侄味夹枰?escape 轉(zhuǎn)義編碼。

2.持久型 XSS（存儲(chǔ)型 XSS）

持久型 XSS 漏洞，一般存在于 Form 表單提交等交互功能，如文章留言，提交文本信息等，黑客利用的 XSS 漏洞，將內(nèi)容經(jīng)正常功能提交進(jìn)入數(shù)據(jù)庫持久保存，當(dāng)前端頁面獲得后端從數(shù)據(jù)庫中讀出的注入代碼時(shí)，恰好將其渲染執(zhí)行。

舉個(gè)例子，對(duì)于評(píng)論功能來說，就得防范持久型 XSS 攻擊，因?yàn)槲铱梢栽谠u(píng)論中輸入以下內(nèi)容：

主要注入頁面方式和非持久型 XSS 漏洞類似，只不過持久型的不是來源于 URL，referer，forms 等，而是來源于后端從數(shù)據(jù)庫中讀出來的數(shù)據(jù) 。持久型 XSS 攻擊不需要誘騙點(diǎn)擊，黑客只需要在提交表單的地方完成注入即可，但是這種 XSS 攻擊的成本相對(duì)還是很高。

攻擊成功需要同時(shí)滿足以下幾個(gè)條件：

POST 請(qǐng)求提交表單后端沒做轉(zhuǎn)義直接入庫。
后端從數(shù)據(jù)庫中取出數(shù)據(jù)沒做轉(zhuǎn)義直接輸出給前端。
前端拿到后端數(shù)據(jù)沒做轉(zhuǎn)義直接渲染成 DOM。

持久型 XSS 有以下幾個(gè)特點(diǎn)：

持久性，植入在數(shù)據(jù)庫中
盜取用戶敏感私密信息
危害面廣

3.如何防御

對(duì)于 XSS 攻擊來說，通常有兩種方式可以用來防御。

1) CSP

CSP 本質(zhì)上就是建立白名單，開發(fā)者明確告訴瀏覽器哪些外部資源可以加載和執(zhí)行。我們只需要配置規(guī)則，如何攔截是由瀏覽器自己實(shí)現(xiàn)的。我們可以通過這種方式來盡量減少 XSS 攻擊。

通常可以通過兩種方式來開啟 CSP：

設(shè)置 HTTP Header 中的 Content-Security-Policy
設(shè)置 meta 標(biāo)簽的方式 <meta http-equiv="Content-Security-Policy">

這里以設(shè)置 HTTP Header 來舉例：

只允許加載本站資源

Content-Security-Policy: default-src 'self'

只允許加載 HTTPS 協(xié)議圖片

Content-Security-Policy: img-src https://*

允許加載任何來源框架

Content-Security-Policy: child-src 'none'

如需了解更多屬性，請(qǐng)查看Content-Security-Policy文檔

對(duì)于這種方式來說，只要開發(fā)者配置了正確的規(guī)則，那么即使網(wǎng)站存在漏洞，攻擊者也不能執(zhí)行它的攻擊代碼，并且 CSP 的兼容性也不錯(cuò)。

2) 轉(zhuǎn)義字符

用戶的輸入永遠(yuǎn)不可信任的，最普遍的做法就是轉(zhuǎn)義輸入輸出的內(nèi)容，對(duì)于引號(hào)、尖括號(hào)、斜杠進(jìn)行轉(zhuǎn)義

function escape(str) { 
  str = str.replace(/&/g, '&amp;') 
  str = str.replace(/</g, '&lt;') 
  str = str.replace(/>/g, '&gt;') 
  str = str.replace(/"/g, '&quto;') 
  str = str.replace(/'/g, '&#39;') 
  str = str.replace(/`/g, '&#96;') 
  str = str.replace(/\//g, '&#x2F;') 
  return str 
}

但是對(duì)于顯示富文本來說，顯然不能通過上面的辦法來轉(zhuǎn)義所有字符，因?yàn)檫@樣會(huì)把需要的格式也過濾掉。對(duì)于這種情況，通常采用白名單過濾的辦法，當(dāng)然也可以通過黑名單過濾，但是考慮到需要過濾的標(biāo)簽和標(biāo)簽屬性實(shí)在太多，更加推薦使用白名單的方式。

const xss = require('xss') 
let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>') 
// -> <h1>XSS Demo</h1>&lt;script&gt;alert("xss");&lt;/script&gt; 
console.log(html)

以上示例使用了 js-xss 來實(shí)現(xiàn)，可以看到在輸出中保留了 h1 標(biāo)簽且過濾了 script 標(biāo)簽。

3) HttpOnly Cookie。

這是預(yù)防XSS攻擊竊取用戶cookie最有效的防御手段。Web應(yīng)用程序在設(shè)置cookie時(shí)，將其屬性設(shè)為HttpOnly，就可以避免該網(wǎng)頁的cookie被客戶端惡意JavaScript竊取，保護(hù)用戶cookie信息。

二、CSRF

CSRF(Cross Site Request Forgery)，即跨站請(qǐng)求偽造，是一種常見的Web攻擊，它利用用戶已登錄的身份，在用戶毫不知情的情況下，以用戶的名義完成非法操作。

1.CSRF攻擊的原理

下面先介紹一下CSRF攻擊的原理：

完成 CSRF 攻擊必須要有三個(gè)條件：

用戶已經(jīng)登錄了站點(diǎn) A，并在本地記錄了 cookie
在用戶沒有登出站點(diǎn) A 的情況下（也就是 cookie 生效的情況下），訪問了惡意攻擊者提供的引誘危險(xiǎn)站點(diǎn) B (B 站點(diǎn)要求訪問站點(diǎn)A)。
站點(diǎn) A 沒有做任何 CSRF 防御

我們來看一個(gè)例子：當(dāng)我們登入轉(zhuǎn)賬頁面后，突然眼前一亮驚現(xiàn)"XXX隱私照片，不看后悔一輩子"的鏈接，耐不住內(nèi)心躁動(dòng)，立馬點(diǎn)擊了該危險(xiǎn)的網(wǎng)站（頁面代碼如下圖所示），但當(dāng)這頁面一加載，便會(huì)執(zhí)行submitForm這個(gè)方法來提交轉(zhuǎn)賬請(qǐng)求，從而將10塊轉(zhuǎn)給黑客。

2.如何防御

防范 CSRF 攻擊可以遵循以下幾種規(guī)則：

Get 請(qǐng)求不對(duì)數(shù)據(jù)進(jìn)行修改
不讓第三方網(wǎng)站訪問到用戶 Cookie
阻止第三方網(wǎng)站請(qǐng)求接口
請(qǐng)求時(shí)附帶驗(yàn)證信息，比如驗(yàn)證碼或者 Token

1) SameSite

可以對(duì) Cookie 設(shè)置 SameSite 屬性。該屬性表示 Cookie 不隨著跨域請(qǐng)求發(fā)送，可以很大程度減少 CSRF 的攻擊，但是該屬性目前并不是所有瀏覽器都兼容。

2) Referer Check

HTTP Referer是header的一部分，當(dāng)瀏覽器向web服務(wù)器發(fā)送請(qǐng)求時(shí)，一般會(huì)帶上Referer信息告訴服務(wù)器是從哪個(gè)頁面鏈接過來的，服務(wù)器籍此可以獲得一些信息用于處理。可以通過檢查請(qǐng)求的來源來防御CSRF攻擊。正常請(qǐng)求的referer具有一定規(guī)律，如在提交表單的referer必定是在該頁面發(fā)起的請(qǐng)求。所以通過檢查http包頭referer的值是不是這個(gè)頁面，來判斷是不是CSRF攻擊。

但在某些情況下如從https跳轉(zhuǎn)到http，瀏覽器處于安全考慮，不會(huì)發(fā)送referer，服務(wù)器就無法進(jìn)行check了。若與該網(wǎng)站同域的其他網(wǎng)站有XSS漏洞，那么攻擊者可以在其他網(wǎng)站注入惡意腳本，受害者進(jìn)入了此類同域的網(wǎng)址，也會(huì)遭受攻擊。出于以上原因，無法完全依賴Referer Check作為防御CSRF的主要手段。但是可以通過Referer Check來監(jiān)控CSRF攻擊的發(fā)生。

3) Anti CSRF Token

目前比較完善的解決方案是加入Anti-CSRF-Token。即發(fā)送請(qǐng)求時(shí)在HTTP 請(qǐng)求中以參數(shù)的形式加入一個(gè)隨機(jī)產(chǎn)生的token，并在服務(wù)器建立一個(gè)攔截器來驗(yàn)證這個(gè)token。服務(wù)器讀取瀏覽器當(dāng)前域cookie中這個(gè)token值，會(huì)進(jìn)行校驗(yàn)該請(qǐng)求當(dāng)中的token和cookie當(dāng)中的token值是否都存在且相等，才認(rèn)為這是合法的請(qǐng)求。否則認(rèn)為這次請(qǐng)求是違法的，拒絕該次服務(wù)。

這種方法相比Referer檢查要安全很多，token可以在用戶登陸后產(chǎn)生并放于session或cookie中，然后在每次請(qǐng)求時(shí)服務(wù)器把token從session或cookie中拿出，與本次請(qǐng)求中的token 進(jìn)行比對(duì)。由于token的存在，攻擊者無法再構(gòu)造出一個(gè)完整的URL實(shí)施CSRF攻擊。但在處理多個(gè)頁面共存問題時(shí)，當(dāng)某個(gè)頁面消耗掉token后，其他頁面的表單保存的還是被消耗掉的那個(gè)token，其他頁面的表單提交時(shí)會(huì)出現(xiàn)token錯(cuò)誤。

4) 驗(yàn)證碼

應(yīng)用程序和用戶進(jìn)行交互過程中，特別是賬戶交易這種核心步驟，強(qiáng)制用戶輸入驗(yàn)證碼，才能完成最終請(qǐng)求。在通常情況下，驗(yàn)證碼夠很好地遏制CSRF攻擊。但增加驗(yàn)證碼降低了用戶的體驗(yàn)，網(wǎng)站不能給所有的操作都加上驗(yàn)證碼。所以只能將驗(yàn)證碼作為一種輔助手段，在關(guān)鍵業(yè)務(wù)點(diǎn)設(shè)置驗(yàn)證碼。

三、點(diǎn)擊劫持

點(diǎn)擊劫持是一種視覺欺騙的攻擊手段。攻擊者將需要攻擊的網(wǎng)站通過 iframe 嵌套的方式嵌入自己的網(wǎng)頁中，并將 iframe 設(shè)置為透明，在頁面中透出一個(gè)按鈕誘導(dǎo)用戶點(diǎn)擊。

1. 特點(diǎn)

隱蔽性較高，騙取用戶操作
"UI-覆蓋攻擊"
利用iframe或者其它標(biāo)簽的屬性

2. 點(diǎn)擊劫持的原理

用戶在登陸 A 網(wǎng)站的系統(tǒng)后，被攻擊者誘惑打開第三方網(wǎng)站，而第三方網(wǎng)站通過 iframe 引入了 A 網(wǎng)站的頁面內(nèi)容，用戶在第三方網(wǎng)站中點(diǎn)擊某個(gè)按鈕（被裝飾的按鈕），實(shí)際上是點(diǎn)擊了 A 網(wǎng)站的按鈕。
接下來我們舉個(gè)例子：我在優(yōu)酷發(fā)布了很多視頻，想讓更多的人關(guān)注它，就可以通過點(diǎn)擊劫持來實(shí)現(xiàn)

iframe { 
width: 1440px; 
height: 900px; 
position: absolute; 
top: -0px; 
left: -0px; 
z-index: 2; 
-moz-opacity: 0; 
opacity: 0; 
filter: alpha(opacity=0); 
} 
button { 
position: absolute; 
top: 270px; 
left: 1150px; 
z-index: 1; 
width: 90px; 
height:40px; 
} 
</style> 
...... 
<button>點(diǎn)擊脫衣</button> 
<img src="http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg"> 
<iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no"></iframe>

從上圖可知，攻擊者通過圖片作為頁面背景，隱藏了用戶操作的真實(shí)界面，當(dāng)你按耐不住好奇點(diǎn)擊按鈕以后，真正的點(diǎn)擊的其實(shí)是隱藏的那個(gè)頁面的訂閱按鈕，然后就會(huì)在你不知情的情況下訂閱了。

3. 如何防御

1）X-FRAME-OPTIONS

X-FRAME-OPTIONS是一個(gè) HTTP 響應(yīng)頭，在現(xiàn)代瀏覽器有一個(gè)很好的支持。這個(gè) HTTP 響應(yīng)頭就是為了防御用 iframe 嵌套的點(diǎn)擊劫持攻擊。

該響應(yīng)頭有三個(gè)值可選，分別是

DENY，表示頁面不允許通過 iframe 的方式展示
SAMEORIGIN，表示頁面可以在相同域名下通過 iframe 的方式展示
ALLOW-FROM，表示頁面可以在指定來源的 iframe 中展示

2）JavaScript 防御

對(duì)于某些遠(yuǎn)古瀏覽器來說，并不能支持上面的這種方式，那我們只有通過 JS 的方式來防御點(diǎn)擊劫持了。

<head> 
  <style id="click-jack"> 
    html { 
      display: none !important; 
    } 
  </style> 
</head> 
<body> 
  <script> 
    if (self == top) { 
      var style = document.getElementById('click-jack') 
      document.body.removeChild(style) 
    } else { 
      top.location = self.location 
    } 
  </script> 
</body>

以上代碼的作用就是當(dāng)通過 iframe 的方式加載頁面時(shí)，攻擊者的網(wǎng)頁直接不顯示所有內(nèi)容了。

四、URL跳轉(zhuǎn)漏洞

定義：借助未驗(yàn)證的URL跳轉(zhuǎn)，將應(yīng)用程序引導(dǎo)到不安全的第三方區(qū)域，從而導(dǎo)致的安全問題。

1.URL跳轉(zhuǎn)漏洞原理

黑客利用URL跳轉(zhuǎn)漏洞來誘導(dǎo)安全意識(shí)低的用戶點(diǎn)擊，導(dǎo)致用戶信息泄露或者資金的流失。其原理是黑客構(gòu)建惡意鏈接(鏈接需要進(jìn)行偽裝,盡可能迷惑),發(fā)在QQ群或者是瀏覽量多的貼吧/論壇中。
安全意識(shí)低的用戶點(diǎn)擊后,經(jīng)過服務(wù)器或者瀏覽器解析后，跳到惡意的網(wǎng)站中。

惡意鏈接需要進(jìn)行偽裝,經(jīng)常的做法是熟悉的鏈接后面加上一個(gè)惡意的網(wǎng)址，這樣才迷惑用戶。

諸如偽裝成像如下的網(wǎng)址，你是否能夠識(shí)別出來是惡意網(wǎng)址呢？

http://gate.baidu.com/index?act=go&url=http://t.cn/RVTatrd

http://qt.qq.com/safecheck.html?flag=1&url=http://t.cn/RVTatrd

http://tieba.baidu.com/f/user/passport?jumpUrl=http://t.cn/RVTatrd

2.實(shí)現(xiàn)方式：

Header頭跳轉(zhuǎn)
Javascript跳轉(zhuǎn)
META標(biāo)簽跳轉(zhuǎn)

這里我們舉個(gè)Header頭跳轉(zhuǎn)實(shí)現(xiàn)方式：

<?php 
$url=$_GET['jumpto']; 
header("Location: $url"); 
?>

http://www.wooyun.org/login.php?jumpto=http://www.evil.com

這里用戶會(huì)認(rèn)為www.wooyun.org都是可信的，但是點(diǎn)擊上述鏈接將導(dǎo)致用戶最終訪問www.evil.com這個(gè)惡意網(wǎng)址。

3.如何防御

1)referer的限制

如果確定傳遞URL參數(shù)進(jìn)入的來源，我們可以通過該方式實(shí)現(xiàn)安全限制，保證該URL的有效性，避免惡意用戶自己生成跳轉(zhuǎn)鏈接

2)加入有效性驗(yàn)證Token

我們保證所有生成的鏈接都是來自于我們可信域的，通過在生成的鏈接里加入用戶不可控的Token對(duì)生成的鏈接進(jìn)行校驗(yàn)，可以避免用戶生成自己的惡意鏈接從而被利用，但是如果功能本身要求比較開放，可能導(dǎo)致有一定的限制。

五、SQL注入

SQL注入是一種常見的Web安全漏洞，攻擊者利用這個(gè)漏洞，可以訪問或修改數(shù)據(jù)，或者利用潛在的數(shù)據(jù)庫漏洞進(jìn)行攻擊。

1.SQL注入的原理

我們先舉一個(gè)萬能鑰匙的例子來說明其原理：

<form action="/login" method="POST"> 
    <p>Username: <input type="text" name="username" /></p> 
    <p>Password: <input type="password" name="password" /></p> 
    <p><input type="submit" value="登陸" /></p> 
</form>

后端的 SQL 語句可能是如下這樣的：

let querySQL = ` 
    SELECT * 
    FROM user 
    WHERE username='${username}' 
    AND psw='${password}' 
`; 
// 接下來就是執(zhí)行 sql 語句...

這是我們經(jīng)常見到的登錄頁面，但如果有一個(gè)惡意攻擊者輸入的用戶名是 admin' --，密碼隨意輸入，就可以直接登入系統(tǒng)了。why! ----這就是SQL注入

我們之前預(yù)想的SQL 語句是:

SELECT * FROM user WHERE username='admin' AND psw='password'

但是惡意攻擊者用奇怪用戶名將你的 SQL 語句變成了如下形式：

SELECT * FROM user WHERE username='admin' --' AND psw='xxxx'

在 SQL 中,' --是閉合和注釋的意思，-- 是注釋后面的內(nèi)容的意思，所以查詢語句就變成了：

SELECT * FROM user WHERE username='admin'

所謂的萬能密碼,本質(zhì)上就是SQL注入的一種利用方式。

一次SQL注入的過程包括以下幾個(gè)過程：

獲取用戶請(qǐng)求參數(shù)
拼接到代碼當(dāng)中
SQL語句按照我們構(gòu)造參數(shù)的語義執(zhí)行成功

**SQL注入的必備條件：
1.可以控制輸入的數(shù)據(jù)
2.服務(wù)器要執(zhí)行的代碼拼接了控制的數(shù)據(jù)**。

我們會(huì)發(fā)現(xiàn)SQL注入流程中與正常請(qǐng)求服務(wù)器類似，只是黑客控制了數(shù)據(jù)，構(gòu)造了SQL查詢，而正常的請(qǐng)求不會(huì)SQL查詢這一步，SQL注入的本質(zhì):數(shù)據(jù)和代碼未分離，即數(shù)據(jù)當(dāng)做了代碼來執(zhí)行。

2.危害

獲取數(shù)據(jù)庫信息
- 管理員后臺(tái)用戶名和密碼
- 獲取其他數(shù)據(jù)庫敏感信息：用戶名、密碼、手機(jī)號(hào)碼、身份證、銀行卡信息……
- 整個(gè)數(shù)據(jù)庫：脫褲
獲取服務(wù)器權(quán)限
植入Webshell，獲取服務(wù)器后門
讀取服務(wù)器敏感文件

3.如何防御

嚴(yán)格限制Web應(yīng)用的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的最低權(quán)限，從而最大限度的減少注入攻擊對(duì)數(shù)據(jù)庫的危害
后端代碼檢查輸入的數(shù)據(jù)是否符合預(yù)期，嚴(yán)格限制變量的類型，例如使用正則表達(dá)式進(jìn)行一些匹配處理。
對(duì)進(jìn)入數(shù)據(jù)庫的特殊字符（'，"，，<，>，&，*，; 等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換。基本上所有的后端語言都有對(duì)字符串進(jìn)行轉(zhuǎn)義處理的方法，比如 lodash 的 lodash._escapehtmlchar 庫。
所有的查詢語句建議使用數(shù)據(jù)庫提供的參數(shù)化查詢接口，參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到 SQL 語句中，即不要直接拼接 SQL 語句。例如 Node.js 中的 mysqljs 庫的 query 方法中的 ? 占位參數(shù)。

六、OS命令注入攻擊

OS命令注入和SQL注入差不多，只不過SQL注入是針對(duì)數(shù)據(jù)庫的，而OS命令注入是針對(duì)操作系統(tǒng)的。OS命令注入攻擊指通過Web應(yīng)用，執(zhí)行非法的操作系統(tǒng)命令達(dá)到攻擊的目的。只要在能調(diào)用Shell函數(shù)的地方就有存在被攻擊的風(fēng)險(xiǎn)。倘若調(diào)用Shell時(shí)存在疏漏，就可以執(zhí)行插入的非法命令。

命令注入攻擊可以向Shell發(fā)送命令，讓W(xué)indows或Linux操作系統(tǒng)的命令行啟動(dòng)程序。也就是說，通過命令注入攻擊可執(zhí)行操作系統(tǒng)上安裝著的各種程序。

1.原理

黑客構(gòu)造命令提交給web應(yīng)用程序，web應(yīng)用程序提取黑客構(gòu)造的命令，拼接到被執(zhí)行的命令中，因黑客注入的命令打破了原有命令結(jié)構(gòu)，導(dǎo)致web應(yīng)用執(zhí)行了額外的命令，最后web應(yīng)用程序?qū)?zhí)行的結(jié)果輸出到響應(yīng)頁面中。

我們通過一個(gè)例子來說明其原理，假如需要實(shí)現(xiàn)一個(gè)需求：用戶提交一些內(nèi)容到服務(wù)器，然后在服務(wù)器執(zhí)行一些系統(tǒng)命令去返回一個(gè)結(jié)果給用戶

// 以 Node.js 為例，假如在接口中需要從 github 下載用戶指定的 repo 
const exec = require('mz/child_process').exec; 
let params = {/* 用戶輸入的參數(shù) */}; 
exec(`git clone ${params.repo} /some/path`);

如果 params.repo 傳入的是 https://github.com/admin/admin.github.io.git 確實(shí)能從指定的 git repo 上下載到想要的代碼。
但是如果 params.repo 傳入的是 https://github.com/xx/xx.git && rm -rf /* && 恰好你的服務(wù)是用 root 權(quán)限起的就糟糕了。