摘要:最近在學(xué)習(xí)安全相關(guān)的一些知識(shí)�����,目前對(duì)安全也只有了一些淺顯的理解���,下面記錄我的一些理解�。防御攻擊的方法主要是修改數(shù)據(jù)的接口��,盡量使用請(qǐng)求使用同源策略推薦的文章安全之攻擊其實(shí)還講了其他的幾種方法����,但是都沒(méi)接觸過(guò),不太理解��,所以沒(méi)有寫下來(lái)�。
最近在學(xué)習(xí)web安全相關(guān)的一些知識(shí),目前對(duì)web安全也只有了一些淺顯的理解�,下面記錄我的一些理解。
因?yàn)閷?duì)這一塊懂的東西不是很多���,有些地方可能寫的不對(duì)或者不夠全����,所以歡迎大家給點(diǎn)問(wèn)題和建議�����。
目前只看了三種攻擊方式
一.XSS跨站腳本攻擊
二.sql注入
三.CSRF跨站請(qǐng)求偽造
一.XSS跨站腳本攻擊
反射型XSS攻擊
此種攻擊通俗點(diǎn)講,就是在用戶輸入的地方�����,輸入一些惡意的腳本����,通常是textarea,然后通過(guò)某種方式立即執(zhí)行��,然后獲取到一些想要得到的信息���,比如cookie等�����,然后發(fā)送到自己的服務(wù)器����。(沒(méi)有想到具體哪些案例會(huì)立即執(zhí)行)
此種攻擊的解決方案一般是在用戶輸入的地方做一些過(guò)濾��,過(guò)濾掉這一部分惡意腳本����。
存儲(chǔ)型XSS攻擊
此種攻擊通俗點(diǎn)講��,就是在用戶輸入的地方,輸入一些惡意的腳本�,通常是富文本編輯器或者textarea等地方,然后在讀取富文本的時(shí)候����,如果沒(méi)有做過(guò)濾和限制,就會(huì)直接執(zhí)行用戶輸入的惡意腳本���。存儲(chǔ)型說(shuō)的就是數(shù)據(jù)會(huì)存儲(chǔ)到服務(wù)器或者數(shù)據(jù)庫(kù)����。
此種攻擊的解決方案和上面一樣���,在用戶輸入的地方做一些過(guò)濾�����,過(guò)濾掉這一部分惡意腳本����。
dom型XSS攻擊
dom型XSS攻擊也是在用戶輸入的地方輸入一些腳本,不同的是這個(gè)腳本可能直接就在客戶端執(zhí)行��,不經(jīng)過(guò)服務(wù)器�����。
xss攻擊基本是在用戶輸入的地方輸入一些惡意腳本���,已達(dá)到以下的目的:
獲取cookie等一些重要的信息
插入一些js或者css修改和破壞頁(yè)面結(jié)構(gòu)
執(zhí)行某段js�����,使頁(yè)面跳轉(zhuǎn)到其他頁(yè)面
基本的防御方法就是在用戶輸入的地方或者顯示的地方:
過(guò)濾危險(xiǎn)節(jié)點(diǎn)���,如script,style�����,link���,iframe等
過(guò)濾一些危險(xiǎn)的屬性����,如href,src等
對(duì)cookie設(shè)置httpOnly
二.CSRF攻擊
關(guān)于CSRF攻擊的知識(shí)�����,我是看了這篇博客的Web安全之CSRF攻擊�,個(gè)人覺(jué)得這篇文章還不錯(cuò),簡(jiǎn)單清晰明了���。
我個(gè)人感覺(jué)CSRF攻擊和XSS攻擊有點(diǎn)類似,也是在用戶輸入的地方輸入一些腳本�,比如一個(gè)圖片,在圖片的src里加上某個(gè)地址����,當(dāng)頁(yè)面再次載入這個(gè)輸入的內(nèi)容的時(shí)候,就會(huì)發(fā)送請(qǐng)求���,從而達(dá)到某種目的����。
CSRF攻擊和xss有點(diǎn)類似�����,不一樣的是,CSRF冒充用戶在站內(nèi)做一些正常的操作����,如關(guān)注某個(gè)人等,而XSS則是獲取一些信息����,做一些惡意的操作等,其實(shí)具體的區(qū)別我也不是很理解�����,有機(jī)會(huì)的話再繼續(xù)深入探究一下�。
防御CSRF攻擊的方法主要是:
修改數(shù)據(jù)的接口,盡量使用post請(qǐng)求
使用cookie同源策略
推薦的文章Web安全之CSRF攻擊其實(shí)還講了其他的幾種方法���,但是都沒(méi)接觸過(guò)��,不太理解��,所以沒(méi)有寫下來(lái)�。
三.SQL注入
我之前寫過(guò)一個(gè)獲取微信小程序碼的接口�����,該接口對(duì)外開(kāi)放沒(méi)有做任何限制,然后根據(jù)一些參數(shù)創(chuàng)建文件夾和文件名等信息�����,發(fā)現(xiàn)經(jīng)常會(huì)有一些SELECT開(kāi)頭的文件夾和文件�,SQL注入應(yīng)該就是傳入的參數(shù)里面帶有SQL語(yǔ)句,后面我加了一些過(guò)濾和判斷就沒(méi)有出現(xiàn)過(guò)了����。
防御的主要措施就是:
對(duì)用戶輸入的內(nèi)容進(jìn)行校驗(yàn)和過(guò)濾
不要?jiǎng)討B(tài)拼接SQL語(yǔ)句
不要使用管理員權(quán)限連接數(shù)據(jù)庫(kù)
敏感字段要進(jìn)行MD5加密
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/101878.html
