资讯专栏INFORMATION COLUMN

上云采购季!| 爆款云服务器低至4.6元/月,首单享0.9折

免费试用
首页/文章专栏/web安全初探

web安全初探

xuhong / 2584人阅读

摘要:安全初探攻击攻击全称跨站脚本攻击,是为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为,是一种在应用中的计算机安全漏洞,它允许恶意用户将代码植入到提供给其它用户使用的页面中。

web安全初探 XSS攻击 
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
分类

存储型(读取数据、富文本)

例如:利用图片加载错误,执行脚本;




    
    xss存储型攻击

防范: 可以通过检测是否被嵌套来预防

if(window.parent != window){
    alert("hikjack")
}
CSRF跨站伪造请求 
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

例如: 发布诱导链接,通过iframe提交表单;(注意:发送时会带上你请求域名下的cookie)




    
    csrf攻击

防范:1. 尽量使用POST,限制GET;get的Referer Check维护成本高;

2. 加验证码;
3. 通过token验证;
SSRF 服务器伪造请求 
是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

例如:

可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);

攻击运行在内网或本地的有漏洞程序(比如溢出);

可以对内网Web应用进行指纹识别,原理是通过请求默认的文件得到特定的指纹

攻击内网或外网有漏洞的Web应用

使用file:///协议读取本地文件

防范手段:

限制域名,不允许提交内网域名;

限制内网ip,不允许提交内网ip;

限制端口;

token验证;

禁用不需要的协议;(可以防止类似于file:///,gopher://,ftp:// 等引起的问题)

通过第三方验证,修改验证后跳转的地址,窃取用户信息

例如:扫码登陆

服务器托管 混合云 初探webrtc webrtc技术初探 初探腾讯云存储网关 SQL存储过程初探

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/53850.html

相关文章

  • web安全初探

    摘要:安全初探攻击攻击全称跨站脚本攻击,是为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为,是一种在应用中的计算机安全漏洞,它允许恶意用户将代码植入到提供给其它用户使用的页面中。 web安全初探 XSS攻击 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全...

    Y3G 评论0 收藏0

  • [译] Web Storage 初探

    摘要:浏览器支持表浏览器版本及以上及以上及以上及以上及以上目前,标准是总共有五个级别的推荐。这对于数据安全来说是有益的。规范说明了当触发存储失败事件的标准的错误警告输出,比如异常。通过存储数据相对于来说可能会更加复杂一些。 原文:Web Storage: A Primer Web Storage是相对比较新的一种可以将数据存储在用户电脑(客户端)的一种方式。 Web Storage给网站/应...

    honmaple 评论0 收藏0

  • Web存储之LocalStorage初探

    摘要:存储之初探的发布和定稿为前端界带来巨大的变化,新增的和特性给业务带来了更多可能性,让用户体验拥有了更可能的丰富。只读返回一个整数,表示存储在对象中的数据项数量。会在过期时间之后销毁。安全性方面,中一般不建议存储敏感信息。 Web存储之LocalStorage初探 HTML5的发布和定稿为前端界带来巨大的变化,新增的API和特性给业务带来了更多可能性,让用户体验拥有了更可能的丰富。 · ...

    wpw 评论0 收藏0

  • Web存储之LocalStorage初探

    摘要:存储之初探的发布和定稿为前端界带来巨大的变化,新增的和特性给业务带来了更多可能性,让用户体验拥有了更可能的丰富。只读返回一个整数,表示存储在对象中的数据项数量。会在过期时间之后销毁。安全性方面,中一般不建议存储敏感信息。 Web存储之LocalStorage初探 HTML5的发布和定稿为前端界带来巨大的变化,新增的API和特性给业务带来了更多可能性,让用户体验拥有了更可能的丰富。 · ...

    ityouknow 评论0 收藏0

  • HTTPS 改造初探

    摘要:一摘要今年的月开始,我们启动了改造项目,并首先在微店买买和交易下单两个业务上进行试点。身份认证发生在握手阶段,用于验证证书的合法性和时间有效性。此次改造,引入了作为前后端的统一接入层。全站改造的落地。 一、摘要 今年的3月开始,我们启动了 HTTPS 改造项目,并首先在微店买买和交易下单两个业务上进行试点。这次试点,一是为全站 HTTPS 改造进行全面的技术摸底,同时也是要沉淀出通用的...

    Lavender 评论0 收藏0

发表评论

登陆后可评论

0条评论

xuhong

|高级讲师
我要私信

TA的文章

阅读更多

云社区相关服务

提问 提问 学习 学习 认证 认证 产品 产品 技术服务 技术服务 售前咨询 售前咨询
最新活动
阅读需要支付1元查看
<