[计算机网络] 白帽子讲Web安全
作者:CC下载站 日期:2022-05-25 13:41:00 浏览:65 分类:玩电脑
1. 总揽
很老的一本书,但是依然有阅读价值。
全书分为4个部分,其中比较重要的应该是第二章和第三章,第二章主要讲解客户端(浏览器)如何保障用户的安全,第三章主要讲解服务端如何保障用户安全。
2. 客户端安全
客户端这边容易受到攻击的主要有三个类型。
第一个是XSS攻击,全名跨站脚本攻击,通常指的是黑客通过某些手段,篡改了用户访问的页面,导致页面上执行了一些恶意的脚本。一个简单的例子:在你登陆淘宝之后,黑客篡改了你的淘宝页面(篡改了用户访问的页面),自动帮你购买了一些奇怪的东西(执行了一些恶意的脚本)。
第二个是CSRF攻击,全名跨站点请求伪造,通常指的是黑客通过某些手段,诱导用户访问某钓鱼页面,在该页面上完成了一些恶意的脚本。一个简单的例子: 在一些诱惑下你点开了一个页面(诱导用户访问某钓鱼页面),尽管你之后什么都没有做,但是你的淘宝购物车被恶意清空了(在该页面上完成了一些恶意的脚本)
第三个是ClickJacking攻击,全名点击劫持攻击,通常指的是黑客通过某些手段,诱导用户访问某钓鱼页面,该页面有个按钮,按钮上悬浮了一个透明的iframe,然后引诱你点击该按钮,当你点击该按钮时触发了iframe中的按钮。一个例子是:在一些诱惑下你点开了一个页面,然后在该页面的诱惑下你点击了一个按钮,结果你的淘宝购物车被恶意清空了。
2.1. XSS
XSS的核心就是篡改用户访问的页面,攻击者是如何来实施篡改的呢?
2.1.1. 评论区XSS
很多博客都有一些评论区,用户可以在其中输入一些文本,然后这些文本会展示在评论区。
部分评论区直接把用户的文本解析为HTML语言,
但如果用户输入了一些别有用心的文本,其中包含了一些可执行的脚本,然后被浏览器执行了,这就是XSS攻击。
2.1.2. 总结
所以实际上XSS的是攻击者利用了系统的漏洞,导致系统没有按照开发者所期望的那样运行导致的。这种情况和SQL注入特别相似。
开发者所需要做的就是不要信任用户的输入,不要执行用户的输入内容即可,对于评论系统,可以只允许用户输入部分带限制的内容,借此来解决这个问题。
2.2. CSRF
CSRF的核心是跨站,很多开发者对跨站请求了解不多,在一些偶然的情况下,允许任何跨域请求来到自己的后台,这其实是非常危险的。
2.2.1. CSRF例子
开发者允许任何域的请求进行跨域,结果攻击者自己做了一个网站,在里面通过跨域调用,删除当前用户的所有数据,
这时候如果一个大冤种来到了这个网站,大冤种的数据就全部被删除了。
2.2.2. 总结
不要允许不可信任的域发起跨域请求就能解决这个问题。当然有些请求不涉及到跨域,比如GET请求,这种就要求开发者不要把一些重要的敏感度高的请求用GET实现。
2.3. ClickJacking
点击劫持,多发生于,iframe页面,这个和iframe有关,这里知道原理就行,就是一个透明的iframe在作妖,具体细节笔者不感兴趣。
3...
后面的内容一般般了,不写了
猜你还喜欢
- 03-29 [玩系统] Windows下强大的命令终端-Cmder
- 03-29 [系统技巧] Win10右键菜单添加“获取文件管理员权限”选项
- 03-29 [系统技巧] win10删除文件夹需要Administrator权限
- 03-09 [网络技巧] 如何使用IPv6地址直接访问http,https服务及Windows共享文件夹[UNC路径]
- 11-05 [系统技巧] 真的有后悔药!Win10超给力的备份功能你用过吗
- 11-05 [系统技巧] 发现Win11、Win10备份已禁用?帮你快速解决!
- 11-05 [电脑技巧] 科普|F1-F12快捷键有什么用?
- 11-05 [系统技巧] 永劫无间游戏卡顿、闪退 只需检查电脑这个设置
- 11-05 [系统技巧] Win10出现Runtime Error如何修复
- 11-05 [系统技巧] Win 10任务栏假死、无响应如何解决
- 11-05 [系统技巧] Win10的备份系统与还原 竟然这么简单
- 10-12 [系统技巧] ubuntu18.04安装openCV3.2.0详解(附加源码+第三方库)
取消回复欢迎 你 发表评论:
- 精品推荐!
-
- 最新文章
- 热门文章
- 热评文章
[书籍] 《炁体源流(上下册)》 道家养生经典辑录 米晶子[pdf]
[即时翻译] 实时打字翻译工具-Typing-translationV3.0
[转换工具] TMSpeech 1.0免费实时语音转字幕软件
[Android] 电工计算器 v10.0.2.1-h
[美食] 曾经的黑龙江第一城,藏着中国烧烤王者
[媒体编辑] pyVideoTrans视频翻译和配音 v1.42
[趣味工具] 【桌面动态小装扮】蝴蝶1.0、蟑螂1.2、苍蝇1.3
[辅助工具] 《小说角色更名器》+《小说广告清理器》V2.0.1
[Android] 人体穴位图解 v3.1.3(可离线)支持Android + ios
[辅助工具] 微信朋友圈导出工具 WechatMoments v0.0.1便携版
[资料] [大学期末救急课] 猴博士+高斯课堂+斐多课堂,全集视频合集
[云资源] 价值2万元的老男孩Python教程
[书库] 史上最全摄影书推荐(附700本PDF版打包下载)
[云资源] 花了一千多元买的私人健身教程
[下载工具] Internet Download Manager 6.42.7 (IDM)
[影视] 灌篮高手 WEB-DL版下载/Slam Dunk/スラムダンク/灌篮高手:THE FIRST/灌篮高手电影版 2022 The First Slam Dunk 61.35G
[资料] 3000 套电影电视剧 LOGO 宣传片常用音效合集包
[安卓软件] 酷我音乐APP_v10.7.6.4 去广告破解豪华VIP版
[即时通讯] 微信PC版WeChat 3.9.9.43 多开防撤回绿色版
[安卓软件] Solid Explorer文件管理器APP 2.8.38 破解版
[云资源] 价值2万元的老男孩Python教程
[影视] 灌篮高手 WEB-DL版下载/Slam Dunk/スラムダンク/灌篮高手:THE FIRST/灌篮高手电影版 2022 The First Slam Dunk 61.35G
[云资源] 花了一千多元买的私人健身教程
[书库] 史上最全摄影书推荐(附700本PDF版打包下载)
[动画] 北斗神拳(1984) [两季合集] [MKV]
[资料] 抗战阵亡将士资料+续编
[电视剧] 三体 (2024) 全8集 网飞版本 中文字幕 合集
[纪录片] 河西走廊【10集 国语 中文字幕 1080P 10.8G MP4】
[电影] 2024年喜剧片·热辣滚烫 [mp4]
[影视] 铁爪 WEB-DL版下载 2023 The Iron Claw 23.48G
- 最新评论
-
我想看看mw2ddyy 评论于:04-26 好东西阿zfy123123 评论于:04-18 谢谢楼主xiaoqi 评论于:04-12 勿在线解压,勿手机解压,请在电脑上用最新款压缩软件解压!推荐360压缩或者好压CC下载站 评论于:04-10 无法解压啊,客服能不能给个解压教程ravengrey 评论于:04-10 谢谢支持!!CC下载站 评论于:03-26 很棒的资源,感谢分享云体风身 评论于:03-26 感谢分享,好东西云体风身 评论于:03-26 谢谢支持!CC下载站 评论于:03-14 央视精品,感谢付出提供。qwer9009 评论于:03-14
- 热门tag