51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

前端面试被问到网络安全怎么办?七种前端安全攻击大解析!

作者:程序员Sunday
安全 应用安全
跨站点脚本攻击(XSS)是最常见的网络共计之一。在 XSS 攻击中,攻击者将恶意客户端脚本注入受信任的网站,然后在用户的浏览器中执行。

Hello,大家好,我是 Sunday。

最近有个同学面试的时候被问到了特别多 网络安全 相关的问题:

图片图片

对于我们很多开发者来说,写代码一般都会只考虑业务,对于安全方面的问题确实不会过多考虑。所以一旦面试被问到安全相关的问题,那么不知道如何回答了。

所以说,咱们今天这篇文章就专门来说一下:前端常见的安全攻击方式、原理、以及如何防护!

01:跨站脚本攻击(XSS)

跨站点脚本攻击(XSS)是最常见的网络共计之一。在 XSS 攻击中,攻击者将恶意客户端脚本注入受信任的网站,然后在用户的浏览器中执行。

XSS 攻击的原因是什么?

图片图片

XSS 攻击的主要原因之一是在将用户生成的输入呈现在页面上。例如,攻击者可能能够使用 JavaScript 注入恶意代码,并且该代码可以在你的应用呈现 DOM 时执行。

此恶意代码最终可能会访问并窃取 用户Token、cookie 以及浏览器中存储的其他敏感信息。

如何防止 XSS 攻击?

防止 XSS 攻击并不困难。

可以从三个部分进行思考

  1. 确保验证和清理允许用户在必要时插入数据和编码输出的表单、输入字段。
  2. 实施内容安全策略 (CSP) 以限制加载的资源和脚本。
  3. 使用 Vue 和 React 等框架,它们具有针对跨站点脚本攻击的内置预防机制。

02:SQL注入

SQL 注入是一种非常危险的攻击方式,并且已经存在很长一段时间了。攻击操纵数据库查询以获得未经授权的数据库访问,以执行恶意活动,例如损坏数据库或窃取敏感数据。

SQL注入的原理是什么?

图片图片

简而言之,SQL 注入让攻击者可以从前端执行 SQL 查询。这可能会导致破坏性操作,从而获取你数据库中的信息!

如何防止 SQL 注入?

防止 SQL 注入的策略分为两部分:

  1. 首先,你需要确保前端输入字段经过正确验证和处理。防止用户在输入的字段中插入恶意代码。
  2. 验证前端后,清理后端收到的数据也很重要。后端不要信任前端输入的任何数据,因为任何人都可以获取你的 API 端点并开始发送恶意输入。因此,后端也需要进行验证。此外,利用Burp Scanner 、 sqlmap、jSQL Injection和Invicti等工具来检测应用程序中潜在的 SQL 攻击和相关漏洞。

03:跨站请求伪造(CSRF)

跨站点请求伪造 (CSRF) 是一种前端安全攻击,它通过伪造的形式来执行 你原本不希望执行的操作

跨站请求伪造的原理是什么?

图片图片

通过伪装的表单、链接或按钮,用于更改用户凭据、删除或操纵敏感数据。

如何防止 跨站请求伪造(CSRF)

防止 CSRF 攻击的最简单方法之一是使用从服务器生成的 CSRF 令牌。你可以与客户端共享这些令牌,以便后端可以在收到的每个请求中检查令牌并验证其真实性。因此,如果客户端无法提供准确的令牌,你的服务器可以拒绝请求的操作。

此外,可以利用 .NET、Joomla、Spring (Spring Security) 和 Ruby on Rails 等框架的内置 CSRF 支持来防止此类攻击。

04:中间人攻击

中间人 (MitM) 攻击迫使攻击者拦截和操纵在两方之间传输的信息

中间人攻击的原理是什么?

图片图片

当攻击者利用不安全的通信通道(通常通过公共 WiFi)时,就会发生这些攻击。这种攻击的受害者不会觉得自己受到了攻击,因为他们认为自己正在与服务器进行完全正常且安全的对话,而他们共享的信息在此过程中遭到监视或更改。

例如:你连接了一个 wifi 原本请求 lgdsunday.club 的地址,但是却被这个 wifi 拦截代理(有点像 devServer 代理请求的感觉)

如何防止中间人攻击

主要有三步:

  1. 使用安全的互联网连接并注销不再使用的应用程序。
  2. 不要连接到你不知道的网络。例如,不要连接到咖啡馆提供的免费 WiFi。
  3. 使用 HTTPS 和 TLS 等安全通信协议对传输中的所有数据进行加密。

05:点击劫持

点击劫持(又名 — UI 纠正攻击)是一种欺骗机制,它会诱骗用户点击与他们认为完全不同的内容。

点击劫持的原理是什么?

图片图片

如图所示,它将隐藏元素覆盖在网站上合法可点击组件的顶部。在这种情况下,用户实际上点击了一个无意的元素,这可能会在未经他们同意的情况下触发攻击者的期望操作(比如转账)等意外操作。

如何防止点击劫持

为了减轻点击劫持攻击的潜在风险,可以使用的一种机制是使用X-Frame-Options标头,它可以确保你的网站不会嵌入到其他网站或 IFrame 中。

06:安全配置错误攻击

应用程序的安全配置错误问题通常是由不正确的设置、默认值和过时的配置引起的,这些问题可能导致攻击者利用的漏洞进行攻击。

安全配置错误攻击的原理是什么?

图片图片

例如,在某些情况下,启用目录列表可能会泄露敏感信息,密码和密钥不会更新并保留为默认值,并且会暴露错误处理信息。

如何防止安全配置错误攻击

  1. 始终确保更新使用的服务的默认密钥和密码,并定期执行配置审核。
  2. 定期检查安全设置还可以帮助降低可能存在安全配置错误或过时配置漏洞的风险。
  3. 对于具有不同凭据的类似配置的生产、开发和测试环境进行自动化构建和部署流程。

07:依赖性利用

前端应用程序由许多第三方库组成,用于使开发人员的工作更加轻松。但开发人员普遍忽视的是,这些库有时可能存在安全漏洞。

依赖性利用的原理是什么?

图片图片

例如,xxxxx 这个依赖库存在一个巨大的漏洞,允许攻击者执行远程代码。因此,任何使用 xxxxx 的应用程序都成为此攻击的受害者。

我印象中有个库之前出现过 主动作恶 的情况,但是具体忘记是哪个库了。有知道的小伙伴,可以给我发消息哈

如何防止依赖性利用

这个没有太好的防范方式,只能是使用广泛使用且维护得当的可靠且经过社区测试的库。

除此之外,最好可以定期审核、依赖项更新和使用漏洞扫描工具进行检查。

责任编辑:武晓燕 来源: 程序员Sunday
依赖性XSS
相关推荐
七种常见的网络安全威胁
使用正确的密码,网络攻击者可以获得大量信息。社会工程是一种密码攻击,DataInsider将其定义为“网络攻击者使用的一种策略,它在很大程度上依赖于人类互动,通常涉及诱骗人们破坏标准安全实践。”其他类型的密码攻击包括访问密码数据库或直接猜测。

2023-06-07 00:08:59

网络安全测试的七种主要类型
通过聘请行业专家充当蓝队,企业组织不仅可以发现目前的安全防护薄弱环节,还可以趁此机会提升员工的专业安全技能。

2023-07-03 12:47:01

首席安全官在网络安全领域生存的七种策略
首席安全官可以做什么企业在不久的未来将面临大量网络安全威胁,以下是使企业及其工作更安全的七种策略:

2021-12-14 11:17:08

首席安全官网络安全首席信息官
七种危及安全的常见物联网攻击
本文介绍七种危害安全的常见物联网攻击,从而了解其答案、示例、常见的物联网攻击以及防止它们的方法。

2023-11-13 11:39:19

网络安全攻防:ZigBee安全
ZigBee(又称紫蜂协议)是基于IEEE802.15.4标准的低功耗局域网协议。根据国际标准规定,ZigBee技术是一种短距离、低功耗的无线通信技术。

2021-04-25 21:45:25

网络安全网络安全攻防ZigBee安全
常见的20网络安全攻击类型,你知道哪个?
恶意软件是恶意软件的总称,因此单词开头的“mal”。恶意软件会感染计算机并在其通过时改变其运行方式、破坏数据或监视用户或网络流量。恶意软件可以从一台设备传播到另一台设备,也可以留在原地,仅影响其主机设备。

2022-11-08 07:24:16

七种危及安全的常见物联网攻击
技术在不断发展,如今物联网的规模和应用数量正在迅速扩展。到2022年底,全球物联网市场预计将增长18%,将达到144亿台。

2023-11-16 13:15:03

网络安全攻防:蓝牙安全
以下是目前常用的蓝牙版本的介绍,分别介绍了各个版本的改进、优势以及特点。

2021-04-23 13:35:41

网络安全蓝牙Wi-Fi
网络安全攻防:物联网安全攻
网络层主要实现物联网信息的转发和传送,包括网络拓扑组成、网络路由协议等。利用路由协议与网络拓扑的脆弱性,可对网络层实施攻击。

2021-06-16 09:40:44

网络安全物联网代码
预防人工智能网络安全攻击大策略
预防高级人工智能网络安全攻击是组织的首要任务。实施强大的机器学习算法可以帮助实时识别和阻止潜在威胁。此外,对员工进行网络安全最佳实践教育,对于预防这些高级攻击至关重要。与人工智能驱动的安全解决方案专家合作也是一种主动的方法,可以增强面对不断变化的网络威胁的防御能力。

2023-10-26 10:23:10

确保欧洲数据中心免受网络安全攻击
鉴于现如今数据中心的相关设备正日渐成为网络黑客的攻击目标,欧洲的数据中心运营商们必须积极的采取各种预防措施,以防止网络安全攻击事件的发生。

2015-09-15 13:27:18

常见网络安全攻击路径盘点分析与建议
企业网络安全防护需要从确定薄弱环节入手,了解公司可能被攻击的路径,并实施适当的预防和检测方法,这有助于保证企业网络弹性,本文收集整理了目前较常见的攻击路径。

2022-10-31 12:16:51

如何防止高级人工智能网络安全攻击
黑客和网络犯罪分子越来越多地利用先进的人工智能工具来发起更复杂的攻击,这使得传统安全措施更难跟上。这意味着组织和个人需要采取额外措施来保护自己免受高级人工智能网络安全攻击。

2023-05-05 11:11:01

新手的大实用网络安全工具【网络安全攻防新手必备】
安全工具是专为自动执行复杂任务而设计的程序。通过使用这些工具,您无需担心内部复杂的任务,就可以达到您所需要的检测效果。下面就一起来看看吧!

2018-11-26 11:04:45

前端安全之XSS攻击
XSS(crosssitescripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。XSS攻击的特点就是:尽一切办法在目标网站上执行非目标网站上原有的脚本(某篇文章说的)。

2017-05-16 14:25:28

网络安全攻防:对称密码
一种工作模式描述了加密每一数据块的过程,并常常使用基于一个通常称为初始化向量(IV)的附加输入值进行随机化,以保证数据加密安全。下面介绍目前几种常用的分组密码工作模式。

2021-02-02 14:02:48

网络安全对称密码密钥
网络安全攻防:暗网
暗网(又称深网、不可见网或隐藏网)是指那些存储在网络数据库里,不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。

2021-04-06 10:30:49

网络安全暗网互联网
网络安全攻防:Web安全之CSRF
CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到2006年才开始被关注,2008年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞。

2021-05-07 14:12:50

网络安全Web安全CSRF
网络安全攻防:数据库安全
数据库中最重要的是数据,要保证数据不因黑客入侵而丢失或泄露,不因程序崩溃而损坏,数据存储方式合理有序,存取方便快捷。

2021-05-24 11:40:50

网络安全数据库安全服务器
网络安全攻防技术:移动安全
随着移动通信技术和移动应用的普及,无线网络、移动智能设备等正以前所未有的速度迅猛发展,已经渗透到了社会的各个方面,成为人们生产和生活不可或缺的工具和手段。

2019-01-10 15:44:00

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服