2、計算機基礎
跨站請求攻擊
,簡單地說,是攻擊者通過一些技術手段欺騙使用者的瀏覽器去訪問乙個自己曾經認證過的**並執行一些操作(如發郵件,發訊息,甚至財產操作如轉賬和購買商品)。**由於瀏覽器曾經認證過,所以被訪問的**會認為是真正的使用者操作而去執行。**這利用了web中使用者身份驗證的乙個漏洞:簡單的身份驗證只能保證請求發自某個使用者的瀏覽器,卻不能保證請求本身是使用者自願發出的。
那麼,乙個惡意攻擊者可以在另乙個**上放置如下**:
如果有賬戶名為alice的使用者訪問了惡意站點,而她之前剛訪問過銀行不久,登入資訊尚未過期,那麼她就會損失1000資金。
這種惡意的**可以有很多種形式,藏身於網頁中的許多地方。此外,攻擊者也不需要控制放置惡意**的**。例如他可以將這種位址藏在論壇,部落格等任何使用者生成內容的**中。這意味著如果服務端沒有合適的防禦措施的話,使用者即使訪問熟悉的可信**也有受攻擊的危險。
透過例子能夠看出,攻擊者並不能通過csrf攻擊來直接獲取使用者的賬戶控制權,也不能直接竊取使用者的任何資訊。他們能做到的,是欺騙使用者的瀏覽器,讓其以使用者的名義執行操作
。
django框架預設帶有stp功能:[2]
渲染後的效果如下:
stp能在html下運作順利,但會導致服務端的複雜度公升高,複雜度源於令牌的生成和驗證。因為令牌是唯一且隨機,如果每個**都使用乙個唯一的令牌,那麼當頁面過多時,伺服器由於生產令牌而導致的負擔也會增加。而使用會話(英語:session)等級的令牌代替的話,伺服器的負擔將沒有那麼重。
這種辦法簡單易行,工作量低,僅需要在關鍵訪問處增加一步校驗。但這種辦法也有其侷限性,因其完全依賴瀏覽器傳送正確的referer欄位。雖然http協議對此欄位的內容有明確的規定,但並無法保證來訪的瀏覽器的具體實現,亦無法保證瀏覽器沒有安全漏洞影響到此字段。並且也存在攻擊者攻擊某些瀏覽器,篡改其referer欄位的可能。
計算機常識
筆記本一般是100m bytes每秒。網路上傳一般是 512bytes每秒 512 8kb 瓶頸 cpu,記憶體和硬碟。記憶體和硬碟效率差一百倍。硬碟30m位元組。硬碟的效能依賴於硬碟的轉速和單碟 大容量單碟會快 順序讀 速度在乙個連續的地方 速度快。隨機讀慢。尋道時間是8毫秒。越靠外圈速度越快。記...
計算機小常識
ami bios 響鈴 故障與含義 1短 記憶體重新整理失敗 重新整理 意為更新。2短 記憶體較驗錯誤 3短 基本記憶體錯誤 指640k的基本記憶體。4短 系統時鐘錯誤 5短 處理器錯誤 6短 鍵盤控制器錯誤 7短 實模式錯誤 8短 顯示記憶體錯誤 9短 rom bios檢驗和錯誤 1長3短 記憶體...
01 計算機常識
軟體 cpu是計算機中的運算核心與控制核心。負責了解析計算機的指令 與計算機運算的執行。資料與cpu互動的橋梁,程式所需要的資料都會先載入到記憶體中,cpu是直接讀取記憶體中資料運算的。訪問速度快,斷電或者是程式退出的時候 記憶體中的資料會丟失 可以永久性儲存資料,但訪問的速度慢。固態硬碟讀取的速度...