摘要:何方神圣中文名字是跨站請(qǐng)求偽造,做的事情就是在別的網(wǎng)站,以你的名義對(duì)你登陸認(rèn)證過(guò)的網(wǎng)站搞事情。中文名字是跨站腳本,做的事情就是在有漏洞的網(wǎng)站,寫(xiě)個(gè)攻擊,或者存?zhèn)€另類(lèi)的數(shù)據(jù)到網(wǎng)站數(shù)據(jù)庫(kù),對(duì)使用網(wǎng)站的用戶(hù)造成困擾,屬于站內(nèi)攻擊。
CSRF、XSS何方神圣 CSRF(Cross-site request forgery)
中文名字是跨站請(qǐng)求偽造,做的事情就是在別的網(wǎng)站,以你的名義對(duì)你登陸認(rèn) 證過(guò)的網(wǎng)站搞事情。XSS(Cross-site scripting)
中文名字是跨站腳本,做的事情就是在有漏洞的網(wǎng)站,寫(xiě)個(gè)dom攻擊,或者存?zhèn)€另類(lèi)的數(shù)據(jù)到網(wǎng)站數(shù)據(jù)庫(kù),對(duì)使用網(wǎng)站的用戶(hù)造成困擾,屬于站內(nèi)攻擊。它們是怎么令你流淚的 CSRF攻擊姿勢(shì)
在B網(wǎng)站默默寫(xiě)個(gè)可訪(fǎng)問(wèn)A網(wǎng)站(用戶(hù)登陸過(guò)了,客戶(hù)端已經(jīng)存儲(chǔ)cookie)的鏈接或者腳本。觸發(fā)方式有用戶(hù)不小心觸發(fā)(比如:點(diǎn)擊某個(gè)按鈕啥的),或者用iframe偷偷訪(fǎng)問(wèn),這時(shí)候會(huì)帶A網(wǎng)站的cookie去請(qǐng)求A服務(wù)器,因?yàn)橛脩?hù)已經(jīng)登陸過(guò)。如果服務(wù)器沒(méi)有做任何防護(hù),那B網(wǎng)站就開(kāi)心了,能做的事情就有點(diǎn)多了,比如想去獲取一下你的好友列表信息,然后發(fā)垃圾郵箱啥的,再比如就是直接轉(zhuǎn)賬,把你錢(qián)都卷跑。。如果你做了防護(hù),B網(wǎng)站會(huì)嘗試投你所好,繼續(xù)攻擊,直到?jīng)]法子。XSS攻擊姿勢(shì)
1. 檢查提交表單是否對(duì)用戶(hù)輸入有限制,如果限制沒(méi)做好,那攻擊者可以寫(xiě)入一段腳本、sql語(yǔ)句、包含html標(biāo)簽的內(nèi)容。 設(shè)想錄入文章的場(chǎng)景,攻擊者寫(xiě)入的文章被用戶(hù)看到,可發(fā)生的事情有:執(zhí)行js腳本()完了,用戶(hù)的cookie要丟了,有了用戶(hù)cookie,能做的事情就有點(diǎn)多了;或者可能會(huì)攻擊數(shù)據(jù)庫(kù),操作數(shù)據(jù),考驗(yàn)?zāi)愕臄?shù)據(jù)庫(kù)承受能力。 2. 顯示內(nèi)容根據(jù)url參數(shù)是否有關(guān),進(jìn)行參數(shù)攻擊。怎么保住自己的江山 CSRF預(yù)防措施
1. 使用cookie的httpOnly,設(shè)置為true,就不能通過(guò)document.cookie 方式獲取用戶(hù)cookie。 2. 使用token,對(duì)每個(gè)請(qǐng)求都設(shè)置一個(gè)token,尤其是post, delete等危險(xiǎn) method,比如django就使用了csrf_token機(jī)制預(yù)防csrf。 3. 檢查reffer,檢測(cè)鏈接訪(fǎng)問(wèn)來(lái)源。 4. 保證自己站內(nèi)沒(méi)有xss,這樣用戶(hù)信息不易丟失,不給csrf假冒用戶(hù)的機(jī) 會(huì)。 5. 使用X-iframe-options頭部控制別的網(wǎng)站用iframe嵌入你的內(nèi)容。 6. 利用框架自身特點(diǎn),比如django的csrf_token。XSS預(yù)防措施
1. 對(duì)用戶(hù)可輸入信息的地方保持警惕,做好防護(hù),比如轉(zhuǎn)義什么的。 2. 強(qiáng)化數(shù)據(jù)庫(kù),存入數(shù)據(jù)之前,考慮到安全性。 3. url中的參數(shù)考慮下encode 4. 利用框架本身功能,比如django默認(rèn)會(huì)處理特殊字符
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/40660.html
摘要:前言對(duì)于一個(gè)影子殺手而言,總能殺人于無(wú)形。前端也有影子殺手,它總是防不勝防地危害著你的網(wǎng)站本篇打算介紹一些前端的影子殺手們和。影子殺手們,由來(lái)已久,幾乎伴隨著整個(gè)互聯(lián)網(wǎng)的發(fā)展。 前言 對(duì)于一個(gè)影子殺手而言,總能殺人于無(wú)形。前端也有影子殺手,它總是防不勝防地危害著你的網(wǎng)站 本篇打算介紹一些前端的影子殺手們——XSS和CSRF。或許,你對(duì)它恨之入骨;又或者,你運(yùn)用的得心應(yīng)手。恨之入骨,可能...
摘要:要錢(qián)的簡(jiǎn)單理解百度的廣告就是不用錢(qián)的自己配置提高搜索引擎的權(quán)重是一種技術(shù),主要是用于提高網(wǎng)站瀏覽量而做的優(yōu)化手段為什么需要我們搜一下微信公眾號(hào)發(fā)現(xiàn)排名是有先后的,博客園都是靠前的。 CDN 什么是CDN 初學(xué)Web開(kāi)發(fā)的時(shí)候,多多少少都會(huì)聽(tīng)過(guò)這個(gè)名詞->CDN。 CDN在我沒(méi)接觸之前,它給我的印象是用來(lái)優(yōu)化網(wǎng)絡(luò)請(qǐng)求的,我第一次用到CDN的時(shí)候是在找JS文件時(shí)。當(dāng)時(shí)找不到相對(duì)應(yīng)的JS文件...
摘要:前言一直以來(lái)自己對(duì)安全方面的知識(shí)了解的比較少,最近有點(diǎn)閑工夫了解了一下。攻擊的一般是由服務(wù)端解決。攻擊條件登錄受信任網(wǎng)站,并在本地生成。驗(yàn)證對(duì)所有引用對(duì)象的授權(quán)。 前言 一直以來(lái)自己對(duì)WEB安全方面的知識(shí)了解的比較少,最近有點(diǎn)閑工夫了解了一下。也是為了以后面試吧,之前就遇到過(guò)問(wèn)WEB安全方面的問(wèn)題,答的不是很理想,所以整理了一下! 一、XSS攻擊 跨站腳本攻擊(Cross Site ...
摘要:前言一直以來(lái)自己對(duì)安全方面的知識(shí)了解的比較少,最近有點(diǎn)閑工夫了解了一下。攻擊的一般是由服務(wù)端解決。攻擊條件登錄受信任網(wǎng)站,并在本地生成。驗(yàn)證對(duì)所有引用對(duì)象的授權(quán)。 前言 一直以來(lái)自己對(duì)WEB安全方面的知識(shí)了解的比較少,最近有點(diǎn)閑工夫了解了一下。也是為了以后面試吧,之前就遇到過(guò)問(wèn)WEB安全方面的問(wèn)題,答的不是很理想,所以整理了一下! 一、XSS攻擊 跨站腳本攻擊(Cross Site Sc...
閱讀 1552·2021-11-17 09:33
閱讀 1100·2021-11-12 10:36
閱讀 2414·2019-08-30 15:54
閱讀 2441·2019-08-30 13:14
閱讀 2914·2019-08-26 14:05
閱讀 3289·2019-08-26 11:32
閱讀 3001·2019-08-26 10:09
閱讀 2995·2019-08-26 10:09