摘要:危險網(wǎng)站發(fā)出的請求得以執(zhí)行�����。但同樣可以被攻擊取得會話固定誘騙用戶使用指定的進行登錄�,這樣系統(tǒng)不會分配新的防御方法每次登陸重置設(shè)置���,防止客戶端腳本訪問信息��,阻止攻擊關(guān)閉透明化頭信息驗證校驗好的話點個贊吧更詳細(xì)講解安全大全
1. CSRF (cross-site request forgery)跨站請求偽造
一句話概括:
當(dāng)用戶瀏覽器同時打開危險網(wǎng)站和正常網(wǎng)站�,危險網(wǎng)站利用圖片隱藏鏈接��,或者js文件操縱用戶生成錯誤請求給正常網(wǎng)站�����。此時因為用戶會攜帶自己的session驗證。危險網(wǎng)站發(fā)出的請求得以執(zhí)行��。
根本原因:web的隱式身份驗證機制
解決辦法: 為每一個提交的表單生成一個隨機token��, 存儲在session中����,每次驗證表單token,檢查token是否正確�。
2. XSS (cross site script)跨站腳本攻擊
一句話概括:
網(wǎng)站對提交的數(shù)據(jù)沒有轉(zhuǎn)義或過濾不足,導(dǎo)致一些代碼存儲到系統(tǒng)中�����,其他用戶請求時攜帶這些代碼����,從而使用戶執(zhí)行相應(yīng)錯誤代碼
例如在一個論壇評論中發(fā)表:
這樣的話,當(dāng)其他用戶瀏覽到這個頁面��,這段js代碼就會被執(zhí)行���。當(dāng)然�,我們還可以執(zhí)行一些更嚴(yán)重的代碼來盜取用戶信息�。
解決辦法: 轉(zhuǎn)移和過濾用戶提交的信息
3. session攻擊���,會話劫持
一句話概括:
用某種手段得到用戶session ID,從而冒充用戶進行請求
原因: 由于http本身無狀態(tài)����,同時如果想維持一個用戶不同請求之間的狀態(tài),session ID用來認(rèn)證用戶
三種方式獲取用戶session ID:
預(yù)測:PHP生成的session ID足夠復(fù)雜并且難于預(yù)測����,基本不可能
會話劫持: URL參數(shù)傳遞sessionID; 隱藏域傳遞sessionID��;比較安全的是cookie傳遞�����。但同樣可以被xss攻擊取得sessionID
會話固定: 誘騙用戶使用指定的sessionID進行登錄��,這樣系統(tǒng)不會分配新的sessionID
防御方法:
每次登陸重置sessionID
設(shè)置HTTPOnly��,防止客戶端腳本訪問cookie信息���,阻止xss攻擊
關(guān)閉透明化sessionID
user-agent頭信息驗證
token校驗
好的話點個贊吧!?�。?br>更詳細(xì)講解: [web安全大全]
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/11357.html
