国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

web安全初探

xuhong / 2687人閱讀

摘要:安全初探攻擊攻擊全稱跨站腳本攻擊,是為不和層疊樣式表的縮寫混淆,故將跨站腳本攻擊縮寫為,是一種在應(yīng)用中的計算機安全漏洞,它允許惡意用戶將代碼植入到提供給其它用戶使用的頁面中。

web安全初探 XSS攻擊
XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應(yīng)用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
分類

存儲型(讀取數(shù)據(jù)、富文本)

例如:利用圖片加載錯誤,執(zhí)行腳本;




    
    xss存儲型攻擊


    

防范: 可以通過檢測是否被嵌套來預(yù)防

if(window.parent != window){
    alert("hikjack")
}
CSRF跨站偽造請求
CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網(wǎng)站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內(nèi)的信任用戶,而CSRF則通過偽裝成受信任用戶的請求來利用受信任的網(wǎng)站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當(dāng)稀少)和難以防范,所以被認(rèn)為比XSS更具危險性。

例如: 發(fā)布誘導(dǎo)鏈接,通過iframe提交表單;(注意:發(fā)送時會帶上你請求域名下的cookie)




    
    csrf攻擊


    
    

防范:1. 盡量使用POST,限制GET;get的Referer Check維護成本高;

2. 加驗證碼;
3. 通過token驗證;
SSRF 服務(wù)器偽造請求
是一種由攻擊者構(gòu)造形成由服務(wù)端發(fā)起請求的一個安全漏洞。一般情況下,SSRF攻擊的目標(biāo)是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)。SSRF 形成的原因大都是由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能且沒有對目標(biāo)地址做過濾與限制。

例如:

可以對外網(wǎng)、內(nèi)網(wǎng)、本地進行端口掃描,某些情況下端口的Banner會回顯出來(比如3306的);

攻擊運行在內(nèi)網(wǎng)或本地的有漏洞程序(比如溢出);

可以對內(nèi)網(wǎng)Web應(yīng)用進行指紋識別,原理是通過請求默認(rèn)的文件得到特定的指紋

攻擊內(nèi)網(wǎng)或外網(wǎng)有漏洞的Web應(yīng)用

使用file:///協(xié)議讀取本地文件

防范手段:

限制域名,不允許提交內(nèi)網(wǎng)域名;

限制內(nèi)網(wǎng)ip,不允許提交內(nèi)網(wǎng)ip;

限制端口;

token驗證;

禁用不需要的協(xié)議;(可以防止類似于file:///,gopher://,ftp:// 等引起的問題)

通過第三方驗證,修改驗證后跳轉(zhuǎn)的地址,竊取用戶信息

例如:掃碼登陸

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/53850.html

相關(guān)文章

  • web安全初探

    摘要:安全初探攻擊攻擊全稱跨站腳本攻擊,是為不和層疊樣式表的縮寫混淆,故將跨站腳本攻擊縮寫為,是一種在應(yīng)用中的計算機安全漏洞,它允許惡意用戶將代碼植入到提供給其它用戶使用的頁面中。 web安全初探 XSS攻擊 XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應(yīng)用中的計算機安全...

    Y3G 評論0 收藏0
  • Web存儲之LocalStorage初探

    摘要:存儲之初探的發(fā)布和定稿為前端界帶來巨大的變化,新增的和特性給業(yè)務(wù)帶來了更多可能性,讓用戶體驗擁有了更可能的豐富。只讀返回一個整數(shù),表示存儲在對象中的數(shù)據(jù)項數(shù)量。會在過期時間之后銷毀。安全性方面,中一般不建議存儲敏感信息。 Web存儲之LocalStorage初探 HTML5的發(fā)布和定稿為前端界帶來巨大的變化,新增的API和特性給業(yè)務(wù)帶來了更多可能性,讓用戶體驗擁有了更可能的豐富。 · ...

    wpw 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<