資訊專欄INFORMATION COLUMN
摘要:危險網站發出的請求得以執行。但同樣可以被攻擊取得會話固定誘騙用戶使用指定的進行登錄,這樣系統不會分配新的防御方法每次登陸重置設置,防止客戶端腳本訪問信息,阻止攻擊關閉透明化頭信息驗證校驗好的話點個贊吧更詳細講解安全大全
1. CSRF (cross-site request forgery)跨站請求偽造
一句話概括:
當用戶瀏覽器同時打開危險網站和正常網站,危險網站利用圖片隱藏鏈接,或者js文件操縱用戶生成錯誤請求給正常網站。此時因為用戶會攜帶自己的session驗證。危險網站發出的請求得以執行。
根本原因:web的隱式身份驗證機制
解決辦法: 為每一個提交的表單生成一個隨機token, 存儲在session中,每次驗證表單token,檢查token是否正確。
一句話概括:
網站對提交的數據沒有轉義或過濾不足,導致一些代碼存儲到系統中,其他用戶請求時攜帶這些代碼,從而使用戶執行相應錯誤代碼
例如在一個論壇評論中發表:
這樣的話,當其他用戶瀏覽到這個頁面,這段js代碼就會被執行。當然,我們還可以執行一些更嚴重的代碼來盜取用戶信息。
解決辦法: 轉移和過濾用戶提交的信息
一句話概括:
用某種手段得到用戶session ID,從而冒充用戶進行請求
原因: 由于http本身無狀態,同時如果想維持一個用戶不同請求之間的狀態,session ID用來認證用戶
三種方式獲取用戶session ID:
預測:PHP生成的session ID足夠復雜并且難于預測,基本不可能
會話劫持: URL參數傳遞sessionID; 隱藏域傳遞sessionID;比較安全的是cookie傳遞。但同樣可以被xss攻擊取得sessionID
會話固定: 誘騙用戶使用指定的sessionID進行登錄,這樣系統不會分配新的sessionID
防御方法:
每次登陸重置sessionID
設置HTTPOnly,防止客戶端腳本訪問cookie信息,阻止xss攻擊
關閉透明化sessionID
user-agent頭信息驗證
token校驗
好的話點個贊吧!!!
更詳細講解: [web安全大全]
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/28623.html
摘要:危險網站發出的請求得以執行。但同樣可以被攻擊取得會話固定誘騙用戶使用指定的進行登錄,這樣系統不會分配新的防御方法每次登陸重置設置,防止客戶端腳本訪問信息,阻止攻擊關閉透明化頭信息驗證校驗好的話點個贊吧更詳細講解安全大全 1. CSRF (cross-site request forgery)跨站請求偽造 一句話概括: 當用戶瀏覽器同時打開危險網站和正常網站,危險網站利用圖片隱藏鏈接,或...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的命令。此外,適當的權限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化。 原因 當使用外...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的命令。此外,適當的權限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化。 原因 當使用外...
摘要:網絡黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術也沒有干貨。 《網絡黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術...
閱讀 3975·2021-11-18 13:22
閱讀 1812·2021-11-17 09:33
閱讀 2877·2021-09-26 09:46
閱讀 1208·2021-08-21 14:11
閱讀 2883·2019-08-30 15:53
閱讀 2706·2019-08-30 15:52
閱讀 1885·2019-08-30 10:52
閱讀 1516·2019-08-29 15:30
