摘要:跨站請(qǐng)求偽造定義又稱�����,攻擊者盜用用戶身份�,發(fā)送惡意請(qǐng)求����。避免全站通用的,嚴(yán)格設(shè)置的域��。并且通過(guò)攜帶過(guò)程的信息可以使服務(wù)端返回開(kāi)頭的狀態(tài)碼���,從而拒絕合理的請(qǐng)求服務(wù)��。
CSRF (cross site request forgery)跨站請(qǐng)求偽造
定義
又稱XSRF�����,攻擊者盜用用戶身份,發(fā)送惡意請(qǐng)求?���!久俺溆脩舭l(fā)起請(qǐng)求(在用戶不知情的情況下),完成一些違背用戶意愿的請(qǐng)求(如惡意發(fā)帖����,刪帖��,改密碼�,發(fā)郵件等)】
原理
用戶登錄受信任網(wǎng)站A�,網(wǎng)站A下發(fā)cookies����,在未關(guān)閉A網(wǎng)站頁(yè)面情況下,訪問(wèn)B網(wǎng)站����,網(wǎng)站B接收到用戶請(qǐng)求后����,返回一些攻擊性代碼����,并發(fā)出一個(gè)請(qǐng)求要求訪問(wèn)第三方站點(diǎn)A,于是����,便帶著網(wǎng)站A下發(fā)cookies完成請(qǐng)求
注:合法用戶(C)��、存在漏洞網(wǎng)站(A)、攻擊網(wǎng)站(B)
用途&危害
以你名義發(fā)送郵件����,發(fā)消息��,盜取你的賬號(hào),甚至于購(gòu)買商品�,虛擬貨幣轉(zhuǎn)賬等
個(gè)人隱私泄露以及財(cái)產(chǎn)安全受到威脅��、網(wǎng)站信譽(yù)受到影響
防御
通過(guò) referer、token 或者 驗(yàn)證碼 來(lái)檢測(cè)用戶提交��。(驗(yàn)證refer(referer)(禁止來(lái)自第三方網(wǎng)站的請(qǐng)求))
盡量不要在頁(yè)面的鏈接中暴露用戶隱私信息�����。
對(duì)于用戶修改刪除等操作最好都使用post 操作 。
避免全站通用的cookie,嚴(yán)格設(shè)置cookie的域����。
xss (cross site scripting) 跨站腳本攻擊
定義
攻擊者可以利用 web應(yīng)用的漏洞或缺陷之處�����,向頁(yè)面注入惡意的程序或代碼,以達(dá)到攻擊的目的
原理
攻擊者通過(guò)各種辦法,在用戶訪問(wèn)的網(wǎng)頁(yè)中注入惡意腳本,讓其在用戶訪問(wèn)網(wǎng)頁(yè)時(shí)在其瀏覽器中進(jìn)行執(zhí)行�,從而達(dá)到惡意攻擊用戶的特殊目的
類型
反射性XSS
通過(guò)給用戶發(fā)送帶有惡意腳本代碼參數(shù)的URL���,當(dāng)URL被打開(kāi)時(shí)���,特有的惡意代碼被html解析�����,執(zhí)行��。
特點(diǎn)是非持久化,必須用戶點(diǎn)擊特定參數(shù)的鏈接才能引起
存儲(chǔ)型XSS
XSS代碼提交給網(wǎng)站 -> 網(wǎng)站把XSS代碼存儲(chǔ)進(jìn)數(shù)據(jù)庫(kù) -> 當(dāng)該頁(yè)面再次被訪問(wèn)時(shí)服務(wù)器發(fā)送已經(jīng)被植入XSS代碼的數(shù)據(jù)給客戶端 -> 客戶端執(zhí)行XSS代碼
基于DOM的XSS
DOM中的可被用戶操縱的對(duì)象�����,如果DOM中的數(shù)據(jù)沒(méi)有經(jīng)過(guò)嚴(yán)格確認(rèn)�����,就會(huì)產(chǎn)生漏洞XSS
用途&危害
身份盜用��,釣魚欺騙、垃圾信息發(fā)送
盜取用戶信息����、隱私
網(wǎng)站釣魚,盜取各類用戶的賬號(hào)
劫持用戶會(huì)話��,從而執(zhí)行任意操作�����,例如進(jìn)行非法轉(zhuǎn)賬�,強(qiáng)制發(fā)表日志等
強(qiáng)制彈出廣告頁(yè)面���,刷流量
流量劫持(通過(guò)訪問(wèn)某段具有 window.location.href 定位到其他頁(yè)面)
dos攻擊:利用合理的客戶端請(qǐng)求來(lái)占用過(guò)多的服務(wù)器資源�����,從而使合法用戶無(wú)法得到服務(wù)器響應(yīng)�。并且通過(guò)攜帶過(guò)程的 cookie信息可以使服務(wù)端返回400開(kāi)頭的狀態(tài)碼�,從而拒絕合理的請(qǐng)求服務(wù)。
防御
對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)義,針對(duì)富文本設(shè)置白名單����,使用CSP
具體做法:
對(duì)輸入內(nèi)容的特定字符進(jìn)行編碼��,例如表示 html標(biāo)記的 < > 等符號(hào)。
對(duì)重要的 cookie設(shè)置 httpOnly, 防止客戶端通過(guò)document.cookie讀取 cookie,此 HTTP頭由服務(wù)端設(shè)置�。
將不可信的值輸出 URL參數(shù)之前�,進(jìn)行 URLEncode操作�����,而對(duì)于從 URL參數(shù)中獲取值一定要進(jìn)行格式檢測(cè)(比如你需要的時(shí)URL�,就判讀是否滿足URL格式)���。
不要使用 Eval來(lái)解析并運(yùn)行不確定的數(shù)據(jù)或代碼����,對(duì)于 JSON解析請(qǐng)使用 JSON.parse() 方法�。
后端接口也應(yīng)該要做到關(guān)鍵字符過(guò)濾的問(wèn)題。
XSS�����、CSRF兩者區(qū)別
XSS利用站點(diǎn)內(nèi)的信任用戶�,而CSRF則通過(guò)偽裝來(lái)自受信任用戶的請(qǐng)求來(lái)攻擊受信任的網(wǎng)站
XSS是服務(wù)器對(duì)用戶輸入的數(shù)據(jù)沒(méi)有進(jìn)行足夠的過(guò)濾,導(dǎo)致客戶端瀏覽器在渲染服務(wù)器返回的html頁(yè)面時(shí)�����,出現(xiàn)了預(yù)期值之外的腳本語(yǔ)句被執(zhí)行���。
CSRF是服務(wù)器端沒(méi)有對(duì)用戶提交的數(shù)據(jù)進(jìn)行隨機(jī)值校驗(yàn)��,且對(duì)http請(qǐng)求包內(nèi)的refer字段校驗(yàn)不嚴(yán)�,導(dǎo)致攻擊者可以利用用戶的Cookie信息偽造用戶請(qǐng)求發(fā)送至服務(wù)器
CORS
是一個(gè)W3C標(biāo)準(zhǔn)�,全稱是"跨域資源共享"(Cross-origin resource sharing)它允許瀏覽器向跨源服務(wù)器,發(fā)出XMLHttpRequest請(qǐng)求�,從而克服了AJAX只能同源使用的限制���。
最常用��,主要是后端配置
實(shí)現(xiàn)此功能非常簡(jiǎn)單�,只需由服務(wù)器發(fā)送一個(gè)響應(yīng)標(biāo)頭即可����。
如:php文件中 header("Access-control-allow-origin:*")
注:ajax xhr.open(method, url, async) async[true: 異步]
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/102979.html
