摘要:危險(xiǎn)網(wǎng)站發(fā)出的請(qǐng)求得以執(zhí)行。但同樣可以被攻擊取得會(huì)話固定誘騙用戶使用指定的進(jìn)行登錄�����,這樣系統(tǒng)不會(huì)分配新的防御方法每次登陸重置設(shè)置����,防止客戶端腳本訪問信息,阻止攻擊關(guān)閉透明化頭信息驗(yàn)證校驗(yàn)好的話點(diǎn)個(gè)贊吧更詳細(xì)講解安全大全
1. CSRF (cross-site request forgery)跨站請(qǐng)求偽造
一句話概括:
當(dāng)用戶瀏覽器同時(shí)打開危險(xiǎn)網(wǎng)站和正常網(wǎng)站,危險(xiǎn)網(wǎng)站利用圖片隱藏鏈接����,或者js文件操縱用戶生成錯(cuò)誤請(qǐng)求給正常網(wǎng)站��。此時(shí)因?yàn)橛脩魰?huì)攜帶自己的session驗(yàn)證。危險(xiǎn)網(wǎng)站發(fā)出的請(qǐng)求得以執(zhí)行。
根本原因:web的隱式身份驗(yàn)證機(jī)制
解決辦法: 為每一個(gè)提交的表單生成一個(gè)隨機(jī)token, 存儲(chǔ)在session中,每次驗(yàn)證表單token���,檢查token是否正確。
2. XSS (cross site script)跨站腳本攻擊
一句話概括:
網(wǎng)站對(duì)提交的數(shù)據(jù)沒有轉(zhuǎn)義或過濾不足,導(dǎo)致一些代碼存儲(chǔ)到系統(tǒng)中�����,其他用戶請(qǐng)求時(shí)攜帶這些代碼��,從而使用戶執(zhí)行相應(yīng)錯(cuò)誤代碼
例如在一個(gè)論壇評(píng)論中發(fā)表:
這樣的話,當(dāng)其他用戶瀏覽到這個(gè)頁面�����,這段js代碼就會(huì)被執(zhí)行����。當(dāng)然,我們還可以執(zhí)行一些更嚴(yán)重的代碼來盜取用戶信息���。
解決辦法: 轉(zhuǎn)移和過濾用戶提交的信息
3. session攻擊,會(huì)話劫持
一句話概括:
用某種手段得到用戶session ID�����,從而冒充用戶進(jìn)行請(qǐng)求
原因: 由于http本身無狀態(tài)�,同時(shí)如果想維持一個(gè)用戶不同請(qǐng)求之間的狀態(tài),session ID用來認(rèn)證用戶
三種方式獲取用戶session ID:
預(yù)測:PHP生成的session ID足夠復(fù)雜并且難于預(yù)測�����,基本不可能
會(huì)話劫持: URL參數(shù)傳遞sessionID����; 隱藏域傳遞sessionID;比較安全的是cookie傳遞����。但同樣可以被xss攻擊取得sessionID
會(huì)話固定: 誘騙用戶使用指定的sessionID進(jìn)行登錄����,這樣系統(tǒng)不會(huì)分配新的sessionID
防御方法:
每次登陸重置sessionID
設(shè)置HTTPOnly�����,防止客戶端腳本訪問cookie信息���,阻止xss攻擊
關(guān)閉透明化sessionID
user-agent頭信息驗(yàn)證
token校驗(yàn)
好的話點(diǎn)個(gè)贊吧?����。?!
更詳細(xì)講解: [web安全大全]
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/11357.html
