深度技术论坛:白话web平安
伤心往事
梦回大二,那时刻沉迷于毒奶粉,甚至国庆都在宿舍与毒奶粉配合渡过,然则却发生了一件让我迄今难忘的事情~
我新练的漆黑武士被盗了!!!干干净净!!!
虽然过了好久了,然则念念不忘啊,好像发生在昨天。记得那时刻还在屯质料,金色小晶体是什么的。没日没夜的刷图攒钱,倒买倒卖假粉,真紫。厥后刷悲鸣的时刻爆了一把虫炮(一把价钱蛮高的手炮武器),把我激动的哟。
然后就挂到拍卖行了,不一会居然有人私信我,说他看中了,然则游戏里的金币不够,看他挺恳切的,就和他商议怎么办~
最终方案就是他让我登录一个网站,然后输入我的qq号、密码。他会在谁人网站上给我转钱。而且价钱要比拍卖行高,我一想,不亏!就去了,然则当我输入账号密码后,我的游戏被中断了。等我马不停蹄的登录账号后,我的质料,武器,金币都没了~~
虽然说这个事和网络平安关系不是很大,完全是由于自己啥都不懂,谁人网站应该不是腾讯官方的。相当于我把我的账号密码自动泄露给他人了~
不外若是你想保护好的你的账号和隐私,对于网络平安照样有需要举行领会的。
csrf攻击
煮个例子:
- 我上岸了腾讯官方网站(qq.com),这时刻我的身份信息就被保留在cookies中了
- 谁人坏人骗我接见另外一个非腾讯官网网站(xx.com)
- xx.com有一段剧本会发往请求到qq.com,好比qq.com/some-action,这时刻会携带之前被浏览器保留身份信息
- qq.com收到了带有身份信息的请求,会正常处置
- 这时刻的行为就不是我能控制的了,若是谁人坏人行使我的身份信息向qq.com发送一个转义物品的请求,那我也没办法的。
上面的例子只是其中之一,另有林林总总的攻击方式,这里简朴枚举下:
- 接见一个不平安地址,页面包罗自动发送的get请求或post请求。
- 链接形式,好比图片,上面可能是种种诱导语。
那我们怎么制止csrf呢?
这就需要我们有的放矢,那有哪些显著的症状呢?
- csrf发生在第三方网站
- csrf攻击获取不到cookie信息,只是使用
那我们就可以开发出有疗效的药来治它。
-
阻止不被允许的第三方域提议请求
同源检测 samesite cookie -
类似于署名,要求附带源域产出的一些私密信息
csrf token 双重cookie验证 -
人工验证
- 同源检测就是说检测泉源是否正当,否则克制请求。不外这种方式相对简朴,只能提防通例的csrf攻击。
- samesite cookie的话现在兼容性不是很好,还未普及,samesite cookie自己是用来限制在差别域下的请求时,cookie是否可被携带
- csrf token是天生一个随机的token,注入到林林总总的链接地址或form表单中,行使的是csrf可获取浏览器设置的cookie,然则无法获取html上的随机数。token是一个很有用的方式,除了有点贫苦。
- 双重cookie验证,除了服务端设置的cookie外,每次接见页面还将自动设置一个随机的cookie,然后再请求的时刻携带,之后服务端举行url上的cookie和浏览器上的cookie验证。该方式不仅减轻服务端压力,而且后端验证也利便,然则平安性没有token高。
- 人工验证。好比验证码、输入支付密码,这样纵然你有cookie也无法攻击,由于还需要进一步信息验证。可以发现,许多网站都市有这一步人工验证的历程。
更多详见:
美团web平安-csrf
host、referrer、origin
xss攻击
什么是xss
xss是是一种代码注入攻击,或者说是一种插入式剧本攻击,攻击者行使对浏览器、服务器、数据库的明白,在网站中插入种种可以和网站相关运行代码组合并可执行的剧本,之后在运行的时刻不仅会执行网站自己的代码,还会执行攻击者插入的剧本。
好比获取url上的query举行搜索的搜索框,原来是这样的:
<input type="text" :value="searchWord">
若是攻击者注入这样的代码:
"><script>alert('你被攻击了')</script>
拼接后就会酿成这样:
<input type="text" :value=""><script>alert('你被攻击了')</script>">
当浏览器执行的时刻,就会弹框。
对于服务端或者数据库同样可以行使类似原理举行攻击。
这样攻击者就可以获取cookie、修改数据库等恶意操作了,异常危险。
常见xss攻击
- 存储式
先存储到服务端,好比数据库,然后吐给浏览器,浏览器执行的时刻触发
- 反射性
用户点击的时刻触发,好比攻击者构造出特殊的url地址,服务端剖析后返回的时刻就已经有恶意代码了。
- DOM型
同上,不外是直接就到浏览器了,执行后发生攻击。
相对于前两种,DOM型是浏览器触发的,其他两个是服务端触发的。
药
浏览器和服务端举行适当的代码转义即可提防大部门xss攻击,除此之外,还可以克制一些不平安的操作,好比加载外域代码,控制内容输入长度,http-only(克制js操作cookie),验证码等.
另有csp - 内容平安策略
感受对比上面的csrf攻击,主要区别是:xss是行使用户对网站的信托,csrf是行使网站对用户操作的信托。
更多详见:
美团web平安-xss
sql注入
实在和xss攻击中提及的数据库部门是一样的。
好比有这样一段sql语句:
sql = "select * from users where name=" name;
name是由用户输入之后天生的,这时刻若是直接将name效果拼接:
select * from users where name='' or '1'='1';
这样不仅执行了原本的sql,还执行了攻击者的代码。
解决方式同上。
DDoS攻击
说白了就是过载,玩过炉石应该能具象出一副过载的画面吧~
你当前回合过载了,那你下回合就得休息休息。类比服务端也是一样的。若是处置的事务过多,后面的只能耐心守候(休息)。
药
我们可以限制ip的流量,有钱的话多整点服务也行,嘿嘿~
总结
内容不多,然则只管有用。
web平安是网站应用降生的产物,一个攻一个守,本文先容的只是冰山一角,希望能帮到有需要的人。
最近发现博客园上的图片不会自动转成自己的图床cdn地址,依然使用的外站,导致图片资源403,也是让我挺头疼了,虽然加了meta:
<meta name="referrer" content="never">
然则在部门手机浏览器上照样有问题,再贴一个防盗链文章地址吧。留给自己看~
防盗链
这篇就到这啦~
拜了个拜~
,Sunbet www.bhjqxx.cn是Sunbet娱乐的官方网站。申博用20多年的时间,诠释了高品质、高效率、高信誉。开放的Sunbet、Sunbet等业务备受申博用户的追捧。
本文系作者授权本站发表,未经许可,不得转载。
- usdt自动充提教程网(6allbet.com):加密资产2020收官季:前30总市值破5000亿美元 平均上涨超51%
- usdt回收(caibao.it):去中央化操作系统Cartesi推出存储挖矿设计
- 电银付安装教程(dianyinzhifu.com):行使注释及自定义加密免杀Webshell
- 电银付小盟主(dianyinzhifu.com):Moshi 四大系列 iPhone 12 珍爱壳,搭配 SnapTo 周边、体验逾越 MagSaf
- 电银付大盟主(dianyinzhifu.com):三星 Galaxy Buds Pro 曝光:支持 3D 音频、头部跟踪、对话检测、听力
- 舟山旅游网:女子16次举报男友 究竟有什么仇什么怨

推荐文章
Recommend article-
usdt自动充提教程网(6allbet.com):加密资产2020收官季:前30总市值破5000亿美元 平均上涨超51%
科技/阅读:50 -
usdt回收(caibao.it):去中央化操作系统Cartesi推出存储挖矿设计
科技/阅读:87 -
电银付安装教程(dianyinzhifu.com):行使注释及自定义加密免杀Webshell
科技/阅读:134 -
电银付小盟主(dianyinzhifu.com):Moshi 四大系列 iPhone 12 珍爱壳,搭配 SnapTo 周边、体验逾越 MagSafe 的磁吸便利性
科技/阅读:165 -
电银付大盟主(dianyinzhifu.com):三星 Galaxy Buds Pro 曝光:支持 3D 音频、头部跟踪、对话检测、听力调治等
科技/阅读:94 -
舟山旅游网:女子16次举报男友 究竟有什么仇什么怨
科技/阅读:124

热门文章
HOT NEWS