作者 |肖博陽 上?？匕部尚跑浖撔卵芯吭浩嚲W絡安全組

來源 |鑒源實驗室

引言：在如今的數字化時代，Web應用程序已經滲透到我們生活的每個角落。從購物平臺、社交媒體到企業級系統，無論是用戶還是組織，都依賴于這些應用程序來滿足各自的業務需求。然而，隨著Web應用程序的蓬勃發展，與之而來的網絡攻擊也日益復雜、防不勝防。這些攻擊不僅對用戶的隱私和數據構成威脅，還可能對企業造成金融損失、聲譽受損等嚴重危害。因此，理解和防范Web應用程序的常見漏洞變得尤為重要。

01

OWASP Top 10

為了幫助開發者、安全專業人員和組織更好地了解Web應用程序的主要風險，全球網絡安全專業組織OWASP（Open Web Application Security Project）制定了OWASP Top 10，包括了當前Web應用程序面臨的最重要的十大漏洞。

本文將聚焦于近年來OWASP Top 10中的若干漏洞，深入淺出地探討它們的原理、危害以及防范策略。

02

SQL注入

注入漏洞被認為是最嚴重的漏洞之一，SQL注入漏洞是一種典型的注入漏洞，它允許攻擊者通過構造SQL語句，繞過應用程序的身份驗證和授權機制，訪問、修改甚至刪除數據庫中的敏感信息。下面用一個例子具體說明SQL注入的原理。

2.1 SQL注入實例

在購物網站點擊種類為“Accessories”的商品：

此時跳轉到該種類的商品頁面，url參數為“/filter?category=Accessories”

上述url參數將轉化成SQL語句，用于查詢數據庫中的信息：SELECT * FROM products WHERE category = 'Accessories'，即從數據庫全部內容中查詢類別為“Accessories”的商品，并將結果返回到頁面中。

在理解url參數和SQL語句作用后，對url參數稍作更改即可實施SQL注入攻擊。

將url參數更改為“/filter?category=Accessories'or+1=1--”。其中：

單引號“'”用于閉合原始的 SQL 查詢；

“or”為邏輯運算符，用于連接兩個條件，若其中一個條件為真，整個條件就為真；

“+”為url參數的連接符；

“1=1”為始終為真的條件；

“--”為SQL 中的注釋符，它會注釋掉后面的所有內容，從而防止查詢語句因為被閉合的引號而變得不完整。

上述url參數最終將轉化成SQL語句：SELECT * FROM products WHERE category = 'Accessories' or 1=1--，由于第二個條件始終為真，故整個條件為真，達到了跳過第一個條件的目的。從頁面返回結果可知，本次查詢繞過了類別過濾，從而獲取到了所有商品的信息。

2.2 SQL注入小結

上述結果得知網站并未對SQL注入做防御措施，而進一步的SQL注入攻擊可能導致更嚴重的后果，如讀取、修改或刪除敏感數據，繞過身份驗證，破壞數據完整性，執行拒絕服務攻擊，甚至獲取操作系統級別的權限。這可能導致泄露用戶隱私、系統崩潰、服務不可用、甚至整個系統被入侵，因此對SQL注入進行防御是必要的。

上述網站是Burpsuite官方實驗室提供的SQL注入安全練兵場（下文XSS攻擊使用的網站是XSS安全練兵場），因此未對SQL注入做任何防御措施。所幸目前絕大部分網站不存在這樣的漏洞，已通過各種方式進行防御，如：驗證過濾用戶輸入、使用參數化查詢等。例如在對百度網使用相同的注入方式時，無法繞過過濾。

03

XSS攻擊

XSS（Cross-Site Scripting）是另一種常見的web應用安全漏洞，它允許攻擊者向網頁注入惡意腳本代碼，使這些腳本在用戶瀏覽器中執行，從而達到攻擊的目的。XSS可分為反射型XSS、存儲型XSS和DOM型XSS。

3.1反射型XSS

反射型XSS指惡意腳本通過URL參數傳遞，被目標服務器反射回響應，并在用戶瀏覽器中執行。常見于具有輸入參數功能（如搜索功能）的頁面，如下所示：

在搜索欄內輸入“”，執行該javascript語句將在用戶瀏覽器內彈出內容為“hello”的對話框：

3.2 存儲型XSS

存儲型XSS指惡意腳本被存儲在目標服務器上，當其他用戶訪問包含惡意腳本的頁面時，腳本被執行。常見于具有存儲輸入功能（如評論功能）的頁面，如下所示：

在評論區輸入“”,顯示提交成功后回到原頁面，用戶瀏覽器內彈出內容為“hello”的對話框：

也就是說，任意用戶只要瀏覽到該評論，均會彈出該對話框。存儲型XSS比反射型XSS更容易產生危害，因為它無需用戶主動進行操作，在瀏覽頁面時無意識中被攻擊。

3.3 DOM型XSS

DOM型XSS指惡意腳本直接影響瀏覽器的 DOM，通過修改頁面的結構來執行攻擊。DOM（Document Object Model）即文檔對象模型，可簡單理解為網頁內容。DOM型XSS與前兩類XSS攻擊的最大區別在于不會被插入到服務器響應中，而是通過修改頁面現有DOM結構來觸發，這一特點使得DOM型XSS難以被服務端檢測。

如下所示，在輸入“1”后點擊搜索：

出現搜索結果后通過開發者工具查看網頁結構：

在DOM中發現用戶輸入的參數“1”被包裹在img標簽內部。根據此信息，可在搜索框內輸入“">”，該參數在截斷img標簽后，新增一個svg標簽，并在該標簽內部通過“onload”事件屬性觸發彈窗事件：

點擊搜索后出現了彈窗“1”，此時再通過開發者工具查看網頁結構：

發現原本的img標簽已被截斷，出現了新增的svg標簽且標簽內部包含彈窗事件。

3.4 XSS總結

以上三類XSS示例均為攻擊者展開攻擊的第一步，攻擊者通過該步驟判斷網站是否進行了XSS防護。若攻擊成功，可實施進一步攻擊，如竊取用戶信息、會話劫持等。

網站可通過輸入驗證、輸出編碼、CSP（Content Security Policy）等方式進行防御。

04

失效的身份認證

失效的身份認證指攻擊者利用網站應用程序中的身份認證缺陷獲取高權限并對應用服務進行攻擊。通俗來說，攻擊者能夠破譯密碼等信息，繞過身份驗證機制，暫時或永久地冒用其他用戶身份從而進行攻擊。

可能導致失效身份認證的因素包括：

弱密碼策略：使用弱密碼或允許用戶設計弱密碼，使攻擊者更容易猜測或破解；

會話管理問題：Web應用程序中，會話指一種交互性的通信期間，即客戶端和服務端進行通信的一段時間。若會話管理不當，如未設置會話過期時長或會話標識泄露時，攻擊者將輕而易舉地獲取權限進行攻擊；

不安全的密碼重置：若密碼重置功能不安全，攻擊者可能通過恢復或繞過此功能來獲取對用戶賬戶的訪問權限。

4.1失效的身份認證實例

如下所示，在某FOTA平臺利用低權限賬戶進行登錄（該賬戶無賬戶管理功能），并通過抓包工具BurpSuite獲取該網絡請求的詳細信息，記錄低權限賬戶的令牌信息Authorization：

再以高權限賬戶進行登錄（該賬戶擁有賬戶管理功能），同樣獲取網絡請求的詳細信息，此時將高權限賬戶的令牌信息替換為低權限用戶的令牌信息，并重新發送該請求：

發現仍能成功獲取相關信息，攻擊者通過低權限賬號直接獲取了系統內敏感數據。

在上述實例中，將高權限令牌替換為低權限令牌，相當于模擬使用一個已登錄的低權限賬戶去訪問高權限接口。從實際攻擊的角度出發，攻擊者可通過一個普通賬戶（如游客賬戶），去訪問一個高權限賬戶（如管理員賬戶）接口，進而使用超出自身權限的功能。

4.2 失效的身份認證小結

失效的身份認證是一種常見的安全漏洞，主要涉及到身份驗證機制的不足或不正確使用，導致攻擊者有可能通過不同的手段繞過身份驗證，獲得未經授權的訪問權限。為防范此類漏洞，可采用實施強密碼策略、設置會話過期時間、采用安全會話標識等措施。

05

小結

本文介紹了三種常見的Web應用程序漏洞：SQL注入、XSS攻擊和失效的身份認證。

SQL注入允許攻擊者通過在輸入字段中注入惡意SQL代碼來繞過驗證，執行未經授權的數據庫操作。為了防范SQL注入，Web應用程序應采用驗證過濾用戶輸入、使用參數化查詢等安全措施。

XSS攻擊通過在網頁中注入惡意腳本來在用戶瀏覽器上執行惡意代碼。分為存儲型、反射型和DOM型XSS。為了預防XSS，Web應用程序應采用輸入驗證、輸出編碼和CSP（Content Security Policy）等關鍵措施。

失效的身份認證允許攻擊者繞過已有的身份認證機制，獲取未經授權的訪問權限。為預防該攻擊可加強會話管理，同時在密碼強度上進行一定強制要求。

總體而言，通過綜合使用這些安全措施，可以有效保護Web應用程序免受部分攻擊的影響。

審核編輯 黃宇