web网络安全知多少

news2024/11/16 0:21:15

在这里插入图片描述

web安全性包括: 客户端脚本安全和服务器端应用服务器

客户端脚本安全:
● 跨站脚本攻击(XSS )
● 跨站点请求伪造(CSRF)
● 点击劫持(ClickJacking)
● HTML 5 安全性
服务端应用安全:
● 注入攻击
● 文件上传漏洞
● 认证与会话管理
● 访问控制
● DDos攻击
个人意识和个人层面:
Xss 攻击
Cross Site script: Xss攻击是通过HTML网页篡改网页,插入恶意的脚本,从而在用护浏览网页,控制用户浏览器的一种攻击,Xss长期被列为Web客户端的头号大敌.
反射型XSS
反射型Xss只是简单把用户输入的数据“反射”给浏览器,也就是说,黑客往往需要诱使用户点击“恶意”的链接,有称为非持久的xss
存储型XSS
存储型Xss,黑客把恶意的脚本保存在服务器
DOM Based Xss
也是反射型的XSS,通过修改DOM节点形成XSS,称为DOM Based Xss

Xss攻击进阶
Xss payload
Xss 攻击成功之后,对用户当前浏览的页面植入恶意脚本,控制用户的浏览器,称为Xss payload,常见的Xss payload,是Cookie劫持,可以通过设置“Httponly”标识并防止Cookie劫持,
解决思路

  1. Cookie httponly
  2. 输入检查, 互联网有很多Xss filter
  3. 输出检查, 在变量输出到HTML时候,可以使用编码或者转义,比如HtmlEncode JavascriptEncode
  4. 富文本尽量不让用户自定义Css,如果支持的话,用Css parser对样式进行智能解析.
  5. Dom Based Xss是从javascript输出数据到HTML页面,上面所有的方法是从服务器直接输出到HTML,这块目前还没有效的解决,

跨站点请求伪造(CSRF)

浏览器的cookie

● SessionCookie(又名为临时Cookie)
● Third-party cookie
两者的区别是在于 Third-party cookie是服务器在set-cookie时指定了Expire时间,只有到了expire时间后的cookie才会失效,所以这种cookie会保存在本地,而session-cookie则没有指定expire时间,所以浏览器关闭之后,就失效了.一般而言浏览器会禁止

Web安全是一个很大的领域,可参考《白帽子讲Web安全》

1、XSS 跨站脚本攻击
○ 类型
■ 反射型
■ 存储型
■ 基于 DOM 的攻击
○ 解决方案有:
■ 服务端
● 输入时,过滤数据、使用编码
● 设置 cookie 为 httpOnly
■ 前端
● 输入时,过滤数据、使用编码
● 输出时,过滤数据

2、CSRF 跨站请求伪造
○ 原理:利用客户端用户的登录态进行的第三方请求攻击
○ 解决方案有:
■ referrer
■ 验证码
■ token
■ cookie 新增属性 SameSite

3、iframe 的风险
○ 防御:使用 iframe 的属性 sandbox 限制 iframe 的行为

4、点击劫持
○ 原理:利用网站视觉欺骗,将原有网页的功能或操作通过其他形式覆盖,当用户点击时,从而发起攻击
○ 防御:
■ iframe 覆盖攻击:使用 X-Frame-Options HTTP 响应头标记该页面不能被 iframe 嵌入,从而避免该点击劫持的可能性
■ 图片覆盖攻击:考虑是否存在xss、检查用户提交的img标签是否style属性浮出

5、错误的内容推断
○ 浏览器会根据返回的内容自行推断文件的类型,从而以相应的类型执行文件,如 .js 文件就发起执行 js 脚本。
○ 防御:设置 HTTP 头的属性 X-Content-Options: nosniff ,设置后浏览器不再推断类型,而是根据 Content-Type 的值去处理。

6、不安全的第三方依赖包
○ 通常项目开发中,不可避免的会使用到第三方依赖包,这时第三方依赖包就有可能存在安全漏洞。
○ 防御:
■ 使用一些检测工具检查第三方依赖包等

7、响应拦截
○ 通常用户访问某个网站,是从域名开始输入,访问某网站时,是通过 http 请求发起的,然后再重定向https请求,这给了攻击者机会,在 http 访问时便被拦截。
○ 防御:
■ 输入网站时,带上协议:https
■ 响应头上带上 Strict-Transport-Security 告诉浏览器以后访问该网址时自动把 http 转换成 https
■ 不使用不信任的热点访问需要关注安全的网站

8、本地存储数据泄露
○ 防御:尽可能不在前端存储敏感、机密的信息

9、静态资源完整性
○ 通常静态资源如 脚本文件 和 样式文件存在 CDN,若 CDN 被劫持修改了资源,那么就会造成被攻击。
○ 防御:使用浏览器端的 script 和 link 标签的属性 integrity 表示文件的 base64编码的哈希值和实际的文件哈希值比较是否未被修改。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1702201.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

数据结构复习指导之红黑树

目录 红黑树 考纲内容 知识框架 复习提示 1.红黑树的定义 2.红黑树的插入 3.红黑树的删除 归纳总结 红黑树 考纲内容 (一)查找的基本概念 (二)顺序查找法 (三)分块查找法 (四&#xff…

探索自动化办公的新境界:批量操作与智能管理

新书上架~👇全国包邮奥~ python实用小工具开发教程http://pythontoolsteach.com/3 欢迎关注我👆,收藏下次不迷路┗|`O′|┛ 嗷~~ 目录 一、自动化办公的必要性与价值 二、基础操作与自动化脚本 三、Python在自动化办公中的应用…

android-mvp模式

mvvm可以理解成使用databing的mvp模式,modleview 通过接口让view和Presenter层解耦 从图中就可以看出,最明显的差别就是view层和model层不再相互可知,完全的解耦,取而代之的presenter层充当了桥梁的作用,用于操作view…

Android - failed to set system property

记录一次疏忽,起因是我需要在自定义的 receiver 中保存 property 方便,方便在三方 app 中使用,结果直接崩溃了,虽然结果保存成功了,但是这种情况也是无法接收的,错误日志如下: M006082 05-25 1…

rust语言初识

程序设计实践课上水一篇ing 来源:rust基础入门-1.初识rust-酷程网 (kucoding.com) rust作为一名新兴语言,与go又有些许不同,因为它的目标是对标系统级开发,也就是C、C这两位在编程界的位置。比如我们最常用的windows系统&#x…

【Qt】数据库(一)SQLITE创建、增删查改

填坑1&#xff1a;如何连续插入 汇总SQlite语句 创建表格&#xff1a;create table <table_name> (f1 type1, f2 type2,…); 增&#xff1a;insert into <table_name> values (value1, value2,…); 改&#xff1a;update <table_name> set <f1value1>,…

聚观早报 | Bot Fit已完成开发;新一代H6将开启预售

聚观早报每日整理最值得关注的行业重点事件&#xff0c;帮助大家及时了解最新行业动态&#xff0c;每日读报&#xff0c;就读聚观365资讯简报。 整理丨Cutie 5月27日消息 Bot Fit已完成开发 新一代H6将开启预售 苹果上架iPhone 14官翻机 谷歌正台积电合作开发芯片 比亚迪…

预防侵权知识丨什么是图形商标?怎么用产品图片进行图形商标查询检索?

图形商标查询检索是跨境电商预防侵权中重要的一环&#xff0c;但是有很多卖家对图形商标不太了解&#xff0c;也不知道怎么进行图形商标的查询检索。所以&#xff0c;我们一起来看下。 一、什么是图形商标 图形商标是商标的一种&#xff0c;指的是由几何图形或其它事物图案构…

idea上传git命令

git init git remote add origin git add . git commit -m "标题" git push -u origin master

linux 安装chrome浏览器

一、下载安装包 下载地址&#xff1a;https://download.csdn.net/download/k0307x1990y/89349171 二、安装流程 [rootlocalhost ~]# rpm -ivh *.rpm [rootlocalhost ~]# yum -y localinstall google-chrome-stable_current_x86_64.rpm [rootlocalhost ~]# 三、修改配置文件…

IT 行业的现状剖析与未来展望:商业与技术的交织

今日&#xff0c;我无意间看到 CSDN 的创作话题&#xff1a;“我眼中的 IT 行业现状与未来趋势”&#xff0c;这引发了我对 IT 行业的深入思考。以下是我的一些个人见解&#xff0c;希望能得到大家的指正和交流&#xff0c;共同进步。 IT 行业的现状与未来趋势&#xff0c;这个…

无人机行业所需企业服务等级证书详解

无人机行业中的民用无人机企业服务等级证书是对企业在无人机服务领域的能力、技术、管理和服务质量等方面的一种全面认可和评定。这种证书的存在&#xff0c;不仅有助于企业了解自身服务能力和水平&#xff0c;提升服务质量&#xff0c;增强市场竞争力&#xff0c;促进规范化管…

Spring 原理详解

1. Bean的作用域 Bean在Spring中表示的是Spring管理的对象&#xff0c;Bean的作用域是只Bean在Spring框架中的某种行为模式。 在Spring中&#xff0c;支持6中作用域&#xff1a; singleton&#xff1a;单例作用域&#xff0c;在整个 Spring IoC 容器中&#xff0c;只创建一个…

Alamofire常见GET/POST等请求方式的使用,响应直接为json

Alamofire 官方仓库地址&#xff1a;https://github.com/Alamofire/Alamofire xcode中安装和使用&#xff1a;swift网络库Alamofire的安装及简单使用&#xff0c;苹果开发必备-CSDN博客 Alamofire是一个基于Swift语言开发的优秀网络请求库。它封装了底层的网络请求工作&…

每日5题Day11 - LeetCode 51 - 55

每一步向前都是向自己的梦想更近一步&#xff0c;坚持不懈&#xff0c;勇往直前&#xff01; 第一题&#xff1a;51. N 皇后 - 力扣&#xff08;LeetCode&#xff09; class Solution {public List<List<String>> solveNQueens(int n) {List<List<String>…

WGCLOUD使用下发指令重启安卓设备

wgcloud的下发命令很好使&#xff0c;可以下发很多命令&#xff0c;最好的是可以选择很多主机同时下发命令 这里我想重启下我的安卓设备&#xff0c;只需要下发一个命令&#xff1a; bash reboot 就好啦 如下图

PTA 判断两个矩阵相等

Peter得到两个n行m列矩阵&#xff0c;她想知道两个矩阵是否相等&#xff0c;请你用“Yes”&#xff0c;“No”回答她&#xff08;两个矩阵相等指的是两个矩阵对应元素都相等&#xff09;。 输入格式: 第一行输入整数n和m&#xff0c;表示两个矩阵的行与列&#xff0c;用空格隔…

韬光养晦的超绝项目

发展方向 竞技闯关类 可以加入对战系统积累积分&#xff0c;竞技类的接受程度更高&#xff0c;小孩&#xff08;我和我身边大多数人小时候&#xff09;都喜欢玩王者吃鸡这种经济类游戏&#xff0c;开放世界探索&#xff08;本项目、一梦江湖、逆水寒&#xff09;的受众群体年…

最新dofm飞行棋高阶版,分享情侣版飞行棋高级版和终极版

阿星今天要给大家带来一款甜蜜蜜的小游戏——情侣飞行棋。这不是普通的飞行棋&#xff0c;而是专为情侣设计的&#xff0c;让你们的感情在游戏中升温&#xff0c;擦出更多爱的火花。 准备好了吗&#xff1f;跟着阿星一起&#xff0c;咱们来看看这款软件的魅力所在&#xff01;…