網(wǎng)絡(luò)攻防(xss,CSRF/XSRF)了解一下余素?

CSRF/XSRF:
一胳挎、什么是CSRF?
CSRF(cross-site request forgery) 跨站請求偽造 ,是指攻擊者盜用了你的身份溺森,以你的名義發(fā)送惡意請求.
二、盜用過程
User(你)登錄了某個(gè)信任A, A將在登錄成功的時(shí)候窑眯,在返回的響應(yīng)頭設(shè)置setCookies屏积。以便下次再訪問接口的時(shí)候得到驗(yàn)證身份。此時(shí)磅甩,在沒有退出登錄的情況下訪問危險(xiǎn)網(wǎng)站B炊林,B悄悄訪問A,因?yàn)闉g覽器在發(fā)送的時(shí)候給在請求頭中加上cookie字段以供A的驗(yàn)證。所以卷要,B就間接性的登錄了A,冒用User的身份在A上進(jìn)行操作渣聚。
以上情況是在瀏覽器沒有同源策略下產(chǎn)生

CSRF的防御:
一、服務(wù)端:方法很多僧叉,總的思想就是在客戶端頁面加偽隨機(jī)數(shù):
cookie值進(jìn)行hash:攻擊者在訪問信任網(wǎng)站A時(shí)奕枝,雖然瀏覽器可以在請求中帶上cookie,但是網(wǎng)站A確不僅僅通過cookie來判斷用戶身份瓶堕,同時(shí)通過用戶發(fā)送過來的內(nèi)容中的偽隨機(jī)數(shù)來判斷請求真正是用用戶發(fā)送的隘道。攻擊者在請求A的時(shí)候,不能在提交的內(nèi)容中產(chǎn)生偽隨機(jī)數(shù)(通過cookie哈希化的值)谭梗;
驗(yàn)證碼:用戶每次提交都需要在表單中填寫圖片上的隨機(jī)字符串或者短信驗(yàn)證碼

二忘晤、客戶端: 待補(bǔ)充
...

參考:淺談CSRF攻擊 http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

XSS:
一、什么是XSS, 何時(shí)發(fā)生激捏?
XSS(cross site scripting)跨站腳本攻擊设塔。當(dāng)用戶頁面中有input 錄入的時(shí)候,或者通過get請求傳參的時(shí)候不是錄入普通的文字远舅,而是錄入的腳本代碼闰蛔。如"/><script>alert(document.cookie)</script><!- / "onfocus="alert(document.cookie) 這一類的腳本代碼。用來獲取到用戶的cookie表谊。XSS之所以會發(fā)生钞护, 是因?yàn)橛脩糨斎氲臄?shù)據(jù)變成了代碼

  二、攻擊場景
1. Dom-Based XSS 漏洞
郵件或其他方式傳遞攻擊者構(gòu)造的url爆办。誘使別人點(diǎn)擊难咕,造成該點(diǎn)擊人的信息寫泄露。Dom-Based XSS漏洞威脅點(diǎn)擊的用戶個(gè)體
2. Stored XSS(存儲式XSS漏洞)   
該漏洞允許將攻擊代碼存在數(shù)據(jù)庫中距辆。該類型是應(yīng)用廣泛而且有可能影響大Web服務(wù)器自身安全的漏洞余佃,攻擊者將攻擊腳本上傳到Web服務(wù)器上,使得所有訪問該頁面的用戶都面臨信息泄露的可能跨算。 

XSS防御:
在做xss防御的方案中爆土,遵循一個(gè)原則就是用戶的錄入都是危險(xiǎn)的!V畈稀步势!
1.服務(wù)端將重要的cookie設(shè)置為httponly。讓javascript不能獲取cookie
2.輸入框中背犯,只允許我們期望的數(shù)據(jù)坏瘩。其他過濾調(diào)
3.對數(shù)據(jù)進(jìn)行html Encode編碼
4.過濾移除 特殊的html標(biāo)簽 如:<script><iframe><
5.過濾調(diào)javascript事件的標(biāo)簽。例如 'onclick''onfocus'之類的
6.過濾調(diào)某些自定義標(biāo)簽屬性

參考:https://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末漠魏,一起剝皮案震驚了整個(gè)濱河市倔矾,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌柱锹,老刑警劉巖哪自,帶你破解...
    沈念sama閱讀 211,042評論 6 490
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異禁熏,居然都是意外死亡壤巷,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 89,996評論 2 384
  • 文/潘曉璐 我一進(jìn)店門瞧毙,熙熙樓的掌柜王于貴愁眉苦臉地迎上來隙笆,“玉大人锌蓄,你說我怎么就攤上這事〕湃幔” “怎么了瘸爽?”我有些...
    開封第一講書人閱讀 156,674評論 0 345
  • 文/不壞的土叔 我叫張陵,是天一觀的道長铅忿。 經(jīng)常有香客問我剪决,道長,這世上最難降的妖魔是什么檀训? 我笑而不...
    開封第一講書人閱讀 56,340評論 1 283
  • 正文 為了忘掉前任柑潦,我火速辦了婚禮,結(jié)果婚禮上峻凫,老公的妹妹穿的比我還像新娘渗鬼。我一直安慰自己,他們只是感情好荧琼,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,404評論 5 384
  • 文/花漫 我一把揭開白布譬胎。 她就那樣靜靜地躺著,像睡著了一般命锄。 火紅的嫁衣襯著肌膚如雪堰乔。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,749評論 1 289
  • 那天脐恩,我揣著相機(jī)與錄音镐侯,去河邊找鬼。 笑死驶冒,一個(gè)胖子當(dāng)著我的面吹牛苟翻,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播骗污,決...
    沈念sama閱讀 38,902評論 3 405
  • 文/蒼蘭香墨 我猛地睜開眼袜瞬,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了身堡?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 37,662評論 0 266
  • 序言:老撾萬榮一對情侶失蹤拍鲤,失蹤者是張志新(化名)和其女友劉穎贴谎,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體季稳,經(jīng)...
    沈念sama閱讀 44,110評論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡擅这,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,451評論 2 325
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了景鼠。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片仲翎。...
    茶點(diǎn)故事閱讀 38,577評論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡痹扇,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出溯香,到底是詐尸還是另有隱情鲫构,我是刑警寧澤,帶...
    沈念sama閱讀 34,258評論 4 328
  • 正文 年R本政府宣布玫坛,位于F島的核電站结笨,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏湿镀。R本人自食惡果不足惜炕吸,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,848評論 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望勉痴。 院中可真熱鬧赫模,春花似錦、人聲如沸蒸矛。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,726評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽莉钙。三九已至廓脆,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間磁玉,已是汗流浹背停忿。 一陣腳步聲響...
    開封第一講書人閱讀 31,952評論 1 264
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留蚊伞,地道東北人席赂。 一個(gè)月前我還...
    沈念sama閱讀 46,271評論 2 360
  • 正文 我出身青樓,卻偏偏與公主長得像时迫,于是被迫代替她去往敵國和親颅停。 傳聞我的和親對象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,452評論 2 348

推薦閱讀更多精彩內(nèi)容