成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

網(wǎng)站攻擊中的csrf和xss

Betta / 872人閱讀

摘要:何方神圣中文名字是跨站請求偽造,做的事情就是在別的網(wǎng)站,以你的名義對你登陸認證過的網(wǎng)站搞事情。中文名字是跨站腳本,做的事情就是在有漏洞的網(wǎng)站,寫個攻擊,或者存?zhèn)€另類的數(shù)據(jù)到網(wǎng)站數(shù)據(jù)庫,對使用網(wǎng)站的用戶造成困擾,屬于站內(nèi)攻擊。

CSRF、XSS何方神圣 CSRF(Cross-site request forgery) 
中文名字是跨站請求偽造,做的事情就是在別的網(wǎng)站,以你的名義對你登陸認      證過的網(wǎng)站搞事情。
XSS(Cross-site scripting) 
中文名字是跨站腳本,做的事情就是在有漏洞的網(wǎng)站,寫個dom攻擊,或者存?zhèn)€另類的數(shù)據(jù)到網(wǎng)站數(shù)據(jù)庫,對使用網(wǎng)站的用戶造成困擾,屬于站內(nèi)攻擊。
它們是怎么令你流淚的 CSRF攻擊姿勢 
在B網(wǎng)站默默寫個可訪問A網(wǎng)站(用戶登陸過了,客戶端已經(jīng)存儲cookie)的鏈接或者腳本。觸發(fā)方式有用戶不小心觸發(fā)(比如:點擊某個按鈕啥的),或者用iframe偷偷訪問,這時候會帶A網(wǎng)站的cookie去請求A服務(wù)器,因為用戶已經(jīng)登陸過。如果服務(wù)器沒有做任何防護,那B網(wǎng)站就開心了,能做的事情就有點多了,比如想去獲取一下你的好友列表信息,然后發(fā)垃圾郵箱啥的,再比如就是直接轉(zhuǎn)賬,把你錢都卷跑。。如果你做了防護,B網(wǎng)站會嘗試投你所好,繼續(xù)攻擊,直到?jīng)]法子。
XSS攻擊姿勢 
1. 檢查提交表單是否對用戶輸入有限制,如果限制沒做好,那攻擊者可以寫入一段腳本、sql語句、包含html標簽的內(nèi)容。
設(shè)想錄入文章的場景,攻擊者寫入的文章被用戶看到,可發(fā)生的事情有:執(zhí)行js腳本()完了,用戶的cookie要丟了,有了用戶cookie,能做的事情就有點多了;或者可能會攻擊數(shù)據(jù)庫,操作數(shù)據(jù),考驗?zāi)愕臄?shù)據(jù)庫承受能力。
2. 顯示內(nèi)容根據(jù)url參數(shù)是否有關(guān),進行參數(shù)攻擊。
怎么保住自己的江山 CSRF預(yù)防措施 
1. 使用cookie的httpOnly,設(shè)置為true,就不能通過document.cookie
方式獲取用戶cookie。
2. 使用token,對每個請求都設(shè)置一個token,尤其是post, delete等危險
method,比如django就使用了csrf_token機制預(yù)防csrf。
3. 檢查reffer,檢測鏈接訪問來源。
4. 保證自己站內(nèi)沒有xss,這樣用戶信息不易丟失,不給csrf假冒用戶的機
會。
5. 使用X-iframe-options頭部控制別的網(wǎng)站用iframe嵌入你的內(nèi)容。
6. 利用框架自身特點,比如django的csrf_token。
XSS預(yù)防措施 
1. 對用戶可輸入信息的地方保持警惕,做好防護,比如轉(zhuǎn)義什么的。
2. 強化數(shù)據(jù)庫,存入數(shù)據(jù)之前,考慮到安全性。
3. url中的參數(shù)考慮下encode
4. 利用框架本身功能,比如django默認會處理特殊字符

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/40660.html

相關(guān)文章

  • 前端——影子殺手篇

    摘要:前言對于一個影子殺手而言,總能殺人于無形。前端也有影子殺手,它總是防不勝防地危害著你的網(wǎng)站本篇打算介紹一些前端的影子殺手們和。影子殺手們,由來已久,幾乎伴隨著整個互聯(lián)網(wǎng)的發(fā)展。 前言 對于一個影子殺手而言,總能殺人于無形。前端也有影子殺手,它總是防不勝防地危害著你的網(wǎng)站 本篇打算介紹一些前端的影子殺手們——XSS和CSRF?;蛟S,你對它恨之入骨;又或者,你運用的得心應(yīng)手。恨之入骨,可能...

    李世贊 評論0 收藏0

  • 淺談CDN、SEO、XSS、CSRF

    摘要:要錢的簡單理解百度的廣告就是不用錢的自己配置提高搜索引擎的權(quán)重是一種技術(shù),主要是用于提高網(wǎng)站瀏覽量而做的優(yōu)化手段為什么需要我們搜一下微信公眾號發(fā)現(xiàn)排名是有先后的,博客園都是靠前的。 CDN 什么是CDN 初學(xué)Web開發(fā)的時候,多多少少都會聽過這個名詞->CDN。 CDN在我沒接觸之前,它給我的印象是用來優(yōu)化網(wǎng)絡(luò)請求的,我第一次用到CDN的時候是在找JS文件時。當時找不到相對應(yīng)的JS文件...

    番茄西紅柿 評論0 收藏0

  • 競爭激烈的互聯(lián)網(wǎng)時代,是否需要注重一下WEB安全?

    摘要:前言一直以來自己對安全方面的知識了解的比較少,最近有點閑工夫了解了一下。攻擊的一般是由服務(wù)端解決。攻擊條件登錄受信任網(wǎng)站,并在本地生成。驗證對所有引用對象的授權(quán)。 前言 一直以來自己對WEB安全方面的知識了解的比較少,最近有點閑工夫了解了一下。也是為了以后面試吧,之前就遇到過問WEB安全方面的問題,答的不是很理想,所以整理了一下! 一、XSS攻擊 跨站腳本攻擊(Cross Site ...

    Andrman 評論0 收藏0

  • 競爭激烈的互聯(lián)網(wǎng)時代,是否需要注重一下WEB安全?

    摘要:前言一直以來自己對安全方面的知識了解的比較少,最近有點閑工夫了解了一下。攻擊的一般是由服務(wù)端解決。攻擊條件登錄受信任網(wǎng)站,并在本地生成。驗證對所有引用對象的授權(quán)。 前言 一直以來自己對WEB安全方面的知識了解的比較少,最近有點閑工夫了解了一下。也是為了以后面試吧,之前就遇到過問WEB安全方面的問題,答的不是很理想,所以整理了一下! 一、XSS攻擊 跨站腳本攻擊(Cross Site Sc...

    SnaiLiu 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<