摘要:危险网站发出的请求得以执行。但同样可以被攻击取得会话固定诱骗用户使用指定的进行登录,这样系统不会分配新的防御方法每次登陆重置设置,防止客户端脚本访问信息,阻止攻击关闭透明化头信息验证校验好的话点个赞吧更详细讲解安全大全
1. CSRF (cross-site request forgery)跨站请求伪造
一句话概括:
当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或者js文件操纵用户生成错误请求给正常网站。此时因为用户会携带自己的session验证。危险网站发出的请求得以执行。
根本原因:web的隐式身份验证机制
解决办法: 为每一个提交的表单生成一个随机token, 存储在session中,每次验证表单token,检查token是否正确。
一句话概括:
网站对提交的数据没有转义或过滤不足,导致一些代码存储到系统中,其他用户请求时携带这些代码,从而使用户执行相应错误代码
例如在一个论坛评论中发表:
这样的话,当其他用户浏览到这个页面,这段js代码就会被执行。当然,我们还可以执行一些更严重的代码来盗取用户信息。
解决办法: 转移和过滤用户提交的信息
一句话概括:
用某种手段得到用户session ID,从而冒充用户进行请求
原因: 由于http本身无状态,同时如果想维持一个用户不同请求之间的状态,session ID用来认证用户
三种方式获取用户session ID:
预测:PHP生成的session ID足够复杂并且难于预测,基本不可能
会话劫持: URL参数传递sessionID; 隐藏域传递sessionID;比较安全的是cookie传递。但同样可以被xss攻击取得sessionID
会话固定: 诱骗用户使用指定的sessionID进行登录,这样系统不会分配新的sessionID
防御方法:
每次登陆重置sessionID
设置HTTPOnly,防止客户端脚本访问cookie信息,阻止xss攻击
关闭透明化sessionID
user-agent头信息验证
token校验
好的话点个赞吧!!!
更详细讲解: [web安全大全]
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/28623.html
摘要:危险网站发出的请求得以执行。但同样可以被攻击取得会话固定诱骗用户使用指定的进行登录,这样系统不会分配新的防御方法每次登陆重置设置,防止客户端脚本访问信息,阻止攻击关闭透明化头信息验证校验好的话点个赞吧更详细讲解安全大全 1. CSRF (cross-site request forgery)跨站请求伪造 一句话概括: 当用户浏览器同时打开危险网站和正常网站,危险网站利用图片隐藏链接,或...
摘要:应用常见安全漏洞一览注入注入就是通过给应用接口传入一些特殊字符,达到欺骗服务器执行恶意的命令。此外,适当的权限控制不曝露必要的安全信息和日志也有助于预防注入漏洞。 web 应用常见安全漏洞一览 1. SQL 注入 SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。 原因 当使用外...
摘要:应用常见安全漏洞一览注入注入就是通过给应用接口传入一些特殊字符,达到欺骗服务器执行恶意的命令。此外,适当的权限控制不曝露必要的安全信息和日志也有助于预防注入漏洞。 web 应用常见安全漏洞一览 1. SQL 注入 SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。 原因 当使用外...
摘要:网络黑白一书所抄袭的文章列表这本书实在是垃圾,一是因为它的互联网上的文章拼凑而成的,二是因为拼凑水平太差,连表述都一模一样,还抄得前言不搭后语,三是因为内容全都是大量的科普,不涉及技术也没有干货。 《网络黑白》一书所抄袭的文章列表 这本书实在是垃圾,一是因为它的互联网上的文章拼凑而成的,二是因为拼凑水平太差,连表述都一模一样,还抄得前言不搭后语,三是因为内容全都是大量的科普,不涉及技术...
阅读 3975·2021-11-18 13:22
阅读 1812·2021-11-17 09:33
阅读 2876·2021-09-26 09:46
阅读 1208·2021-08-21 14:11
阅读 2883·2019-08-30 15:53
阅读 2706·2019-08-30 15:52
阅读 1885·2019-08-30 10:52
阅读 1516·2019-08-29 15:30