深度技术论坛:白话web平安

admin/2020-04-08/ 分类:科技/阅读:

伤心往事

梦回大二,那时刻沉迷于毒奶粉,甚至国庆都在宿舍与毒奶粉配合渡过,然则却发生了一件让我迄今难忘的事情~

我新练的漆黑武士被盗了!!!干干净净!!!

虽然过了好久了,然则念念不忘啊,好像发生在昨天。记得那时刻还在屯质料,金色小晶体是什么的。没日没夜的刷图攒钱,倒买倒卖假粉,真紫。厥后刷悲鸣的时刻爆了一把虫炮(一把价钱蛮高的手炮武器),把我激动的哟。

然后就挂到拍卖行了,不一会居然有人私信我,说他看中了,然则游戏里的金币不够,看他挺恳切的,就和他商议怎么办~

最终方案就是他让我登录一个网站,然后输入我的qq号、密码。他会在谁人网站上给我转钱。而且价钱要比拍卖行高,我一想,不亏!就去了,然则当我输入账号密码后,我的游戏被中断了。等我马不停蹄的登录账号后,我的质料,武器,金币都没了~~

虽然说这个事和网络平安关系不是很大,完全是由于自己啥都不懂,谁人网站应该不是腾讯官方的。相当于我把我的账号密码自动泄露给他人了~

不外若是你想保护好的你的账号和隐私,对于网络平安照样有需要举行领会的。

csrf攻击

煮个例子:

  1. 我上岸了腾讯官方网站(qq.com),这时刻我的身份信息就被保留在cookies中了
  2. 谁人坏人骗我接见另外一个非腾讯官网网站(xx.com)
  3. xx.com有一段剧本会发往请求到qq.com,好比qq.com/some-action,这时刻会携带之前被浏览器保留身份信息
  4. qq.com收到了带有身份信息的请求,会正常处置
  5. 这时刻的行为就不是我能控制的了,若是谁人坏人行使我的身份信息向qq.com发送一个转义物品的请求,那我也没办法的。

上面的例子只是其中之一,另有林林总总的攻击方式,这里简朴枚举下:

  1. 接见一个不平安地址,页面包罗自动发送的get请求或post请求。
  2. 链接形式,好比图片,上面可能是种种诱导语。

那我们怎么制止csrf呢?

这就需要我们有的放矢,那有哪些显著的症状呢?

  1. csrf发生在第三方网站
  2. csrf攻击获取不到cookie信息,只是使用

那我们就可以开发出有疗效的药来治它。

  1. 阻止不被允许的第三方域提议请求
    同源检测 samesite cookie

  2. 类似于署名,要求附带源域产出的一些私密信息
    csrf token 双重cookie验证

  3. 人工验证

  • 同源检测就是说检测泉源是否正当,否则克制请求。不外这种方式相对简朴,只能提防通例的csrf攻击。
  • samesite cookie的话现在兼容性不是很好,还未普及,samesite cookie自己是用来限制在差别域下的请求时,cookie是否可被携带
  • csrf token是天生一个随机的token,注入到林林总总的链接地址或form表单中,行使的是csrf可获取浏览器设置的cookie,然则无法获取html上的随机数。token是一个很有用的方式,除了有点贫苦。
  • 双重cookie验证,除了服务端设置的cookie外,每次接见页面还将自动设置一个随机的cookie,然后再请求的时刻携带,之后服务端举行url上的cookie和浏览器上的cookie验证。该方式不仅减轻服务端压力,而且后端验证也利便,然则平安性没有token高。
  • 人工验证。好比验证码、输入支付密码,这样纵然你有cookie也无法攻击,由于还需要进一步信息验证。可以发现,许多网站都市有这一步人工验证的历程。

更多详见:
美团web平安-csrf

host、referrer、origin

xss攻击

什么是xss

xss是是一种代码注入攻击,或者说是一种插入式剧本攻击,攻击者行使对浏览器、服务器、数据库的明白,在网站中插入种种可以和网站相关运行代码组合并可执行的剧本,之后在运行的时刻不仅会执行网站自己的代码,还会执行攻击者插入的剧本。

好比获取url上的query举行搜索的搜索框,原来是这样的:

<input type="text" :value="searchWord"> 

若是攻击者注入这样的代码:

"><script>alert('你被攻击了')</script> 

拼接后就会酿成这样:

<input type="text" :value=""><script>alert('你被攻击了')</script>"> 

当浏览器执行的时刻,就会弹框。

对于服务端或者数据库同样可以行使类似原理举行攻击。

这样攻击者就可以获取cookie、修改数据库等恶意操作了,异常危险。

常见xss攻击

  • 存储式

先存储到服务端,好比数据库,然后吐给浏览器,浏览器执行的时刻触发

  • 反射性

用户点击的时刻触发,好比攻击者构造出特殊的url地址,服务端剖析后返回的时刻就已经有恶意代码了。

  • DOM型

同上,不外是直接就到浏览器了,执行后发生攻击。

相对于前两种,DOM型是浏览器触发的,其他两个是服务端触发的。

浏览器和服务端举行适当的代码转义即可提防大部门xss攻击,除此之外,还可以克制一些不平安的操作,好比加载外域代码,控制内容输入长度,http-only(克制js操作cookie),验证码等.
另有csp - 内容平安策略

感受对比上面的csrf攻击,主要区别是:xss是行使用户对网站的信托,csrf是行使网站对用户操作的信托。

更多详见:
美团web平安-xss

sql注入

实在和xss攻击中提及的数据库部门是一样的。

好比有这样一段sql语句:

sql = "select * from users where name=" name; 

name是由用户输入之后天生的,这时刻若是直接将name效果拼接:

select * from users where name='' or '1'='1'; 

这样不仅执行了原本的sql,还执行了攻击者的代码。

解决方式同上。

DDoS攻击

说白了就是过载,玩过炉石应该能具象出一副过载的画面吧~

你当前回合过载了,那你下回合就得休息休息。类比服务端也是一样的。若是处置的事务过多,后面的只能耐心守候(休息)。

我们可以限制ip的流量,有钱的话多整点服务也行,嘿嘿~

总结

内容不多,然则只管有用。

web平安是网站应用降生的产物,一个攻一个守,本文先容的只是冰山一角,希望能帮到有需要的人。

最近发现博客园上的图片不会自动转成自己的图床cdn地址,依然使用的外站,导致图片资源403,也是让我挺头疼了,虽然加了meta:

<meta name="referrer" content="never"> 

然则在部门手机浏览器上照样有问题,再贴一个防盗链文章地址吧。留给自己看~

防盗链

这篇就到这啦~

拜了个拜~

,

Sunbet

Sunbet www.bhjqxx.cn是Sunbet娱乐的官方网站。申博用20多年的时间,诠释了高品质、高效率、高信誉。开放的Sunbet、Sunbet等业务备受申博用户的追捧。

TAG:
阅读:
广告 330*360
广告 330*360

热门文章

HOT NEWS
Sunbet_进入申博sunbet官网
微信二维码扫一扫
关注微信公众号
新闻自媒体 Copyright © 2002-2019 Sunbet 版权所有
二维码
意见反馈 二维码