資訊專欄INFORMATION COLUMN
摘要:最近在學習安全相關的一些知識,目前對安全也只有了一些淺顯的理解,下面記錄我的一些理解。防御攻擊的方法主要是修改數據的接口,盡量使用請求使用同源策略推薦的文章安全之攻擊其實還講了其他的幾種方法,但是都沒接觸過,不太理解,所以沒有寫下來。
最近在學習web安全相關的一些知識,目前對web安全也只有了一些淺顯的理解,下面記錄我的一些理解。
因為對這一塊懂的東西不是很多,有些地方可能寫的不對或者不夠全,所以歡迎大家給點問題和建議。
目前只看了三種攻擊方式
一.XSS跨站腳本攻擊
二.sql注入
三.CSRF跨站請求偽造
反射型XSS攻擊
此種攻擊通俗點講,就是在用戶輸入的地方,輸入一些惡意的腳本,通常是textarea,然后通過某種方式立即執行,然后獲取到一些想要得到的信息,比如cookie等,然后發送到自己的服務器。(沒有想到具體哪些案例會立即執行)
此種攻擊的解決方案一般是在用戶輸入的地方做一些過濾,過濾掉這一部分惡意腳本。
存儲型XSS攻擊
此種攻擊通俗點講,就是在用戶輸入的地方,輸入一些惡意的腳本,通常是富文本編輯器或者textarea等地方,然后在讀取富文本的時候,如果沒有做過濾和限制,就會直接執行用戶輸入的惡意腳本。存儲型說的就是數據會存儲到服務器或者數據庫。
此種攻擊的解決方案和上面一樣,在用戶輸入的地方做一些過濾,過濾掉這一部分惡意腳本。
dom型XSS攻擊
dom型XSS攻擊也是在用戶輸入的地方輸入一些腳本,不同的是這個腳本可能直接就在客戶端執行,不經過服務器。
xss攻擊基本是在用戶輸入的地方輸入一些惡意腳本,已達到以下的目的:
獲取cookie等一些重要的信息
插入一些js或者css修改和破壞頁面結構
執行某段js,使頁面跳轉到其他頁面
基本的防御方法就是在用戶輸入的地方或者顯示的地方:
過濾危險節點,如script,style,link,iframe等
過濾一些危險的屬性,如href,src等
對cookie設置httpOnly
二.CSRF攻擊關于CSRF攻擊的知識,我是看了這篇博客的Web安全之CSRF攻擊,個人覺得這篇文章還不錯,簡單清晰明了。
我個人感覺CSRF攻擊和XSS攻擊有點類似,也是在用戶輸入的地方輸入一些腳本,比如一個圖片,在圖片的src里加上某個地址,當頁面再次載入這個輸入的內容的時候,就會發送請求,從而達到某種目的。
CSRF攻擊和xss有點類似,不一樣的是,CSRF冒充用戶在站內做一些正常的操作,如關注某個人等,而XSS則是獲取一些信息,做一些惡意的操作等,其實具體的區別我也不是很理解,有機會的話再繼續深入探究一下。
防御CSRF攻擊的方法主要是:
修改數據的接口,盡量使用post請求
使用cookie同源策略
推薦的文章Web安全之CSRF攻擊其實還講了其他的幾種方法,但是都沒接觸過,不太理解,所以沒有寫下來。
三.SQL注入我之前寫過一個獲取微信小程序碼的接口,該接口對外開放沒有做任何限制,然后根據一些參數創建文件夾和文件名等信息,發現經常會有一些SELECT開頭的文件夾和文件,SQL注入應該就是傳入的參數里面帶有SQL語句,后面我加了一些過濾和判斷就沒有出現過了。
防御的主要措施就是:
對用戶輸入的內容進行校驗和過濾
不要動態拼接SQL語句
不要使用管理員權限連接數據庫
敏感字段要進行MD5加密
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/101878.html
摘要:使用簡記后端掘金全稱為即消息隊列。優測優社區干貨精選老司機亂談編輯器之神掘金前言是一種信仰,我自從年有了這個信仰,已經個年頭了。 PHP 程序員進階學習書籍參考指南 - 后端 - 掘金PHP程序員進階學習書籍參考指南 @heiyeluren lastmodify: 2016/2/18 ... 當我們在談論前端加密時,我們在談些什么 - 前端 - 掘金潘建旭,豈安科技(www.bigse...
摘要:也能幫你寫代碼了微軟和團隊一起推出擴展,預覽版可以在插件市場直接查找安裝。微軟宣布將采用內核這對于諸多的前端開發者而言,無疑是本年底最大的福音具體的計劃可以參考官網的博客,在不久的將來,基于的瀏覽器將要正式和我們見面啦。 訂閱 / 投稿:https://github.com/txd-team/monthly本期小編:?Hkmu (扶容)?/?x-cold (尹摯) 新聞快報 npm ...
摘要:也能幫你寫代碼了微軟和團隊一起推出擴展,預覽版可以在插件市場直接查找安裝。微軟宣布將采用內核這對于諸多的前端開發者而言,無疑是本年底最大的福音具體的計劃可以參考官網的博客,在不久的將來,基于的瀏覽器將要正式和我們見面啦。 訂閱 / 投稿:https://github.com/txd-team/monthly本期小編:?Hkmu (扶容)?/?x-cold (尹摯) 新聞快報 npm ...
閱讀 1131·2021-11-24 09:38
閱讀 3236·2021-11-19 09:56
閱讀 2959·2021-11-18 10:02
閱讀 730·2019-08-29 12:50
閱讀 2572·2019-08-28 18:30
閱讀 865·2019-08-28 18:10
閱讀 3670·2019-08-26 11:36
閱讀 2646·2019-08-23 18:23
