白話web安全

2022-02-06 03:43:05 字數 2217 閱讀 3773

夢回大二,那時候沉迷於毒奶粉,甚至國慶都在宿舍與毒奶粉共同度過,但是卻發生了一件讓我迄今難忘的事情~

我新練的黑暗武士被盜了!!!乾乾淨淨!!!

雖然過了好久了,但是記憶猶新啊,彷彿發生在昨天。記得那時候還在屯材料,金色小晶體是什麼的。沒日沒夜的刷圖攢錢,倒買倒賣假粉,真紫。後來刷悲鳴的時候爆了一把蟲炮(一把**蠻高的手炮**),把我激動的喲。

然後就掛到拍賣行了,不一會居然有人私信我,說他看中了,但是遊戲裡的金幣不夠,看他挺誠心的,就和他商量怎麼辦~

最終方案就是他讓我登入乙個**,然後輸入我的qq號、密碼。他會在那個**上給我轉錢。而且**要比拍賣行高,我一想,不虧!就去了,但是當我輸入賬號密碼後,我的遊戲被中斷了。等我馬不停蹄的登入賬號後,我的材料,**,金幣都沒了~~

不過如果你想保護好的你的賬號和隱私,對於網路安全還是有必要進行了解的。

煮個例子:

xx.com有一段指令碼會發往請求到qq.com,比如qq.com/some-action,這時候會攜帶之前被瀏覽器儲存身份資訊

qq.com收到了帶有身份資訊的請求,會正常處理

這時候的行為就不是我能控制的了,如果那個壞人利用我的身份資訊向qq.com傳送乙個轉義物品的請求,那我也沒辦法的。

上面的例子只是其中之一,還有各種各樣的攻擊方式,這裡簡單列舉下:

訪問乙個不安全位址,頁面包含自動傳送的get請求或post請求。

那我們怎麼避免csrf呢?

這就需要我們對症下藥,那有哪些明顯的症狀呢?

csrf發生在第三方**

csrf攻擊獲取不到cookie資訊,只是使用

那我們就可以開發出有療效的藥來治它。

阻止不被允許的第三方域發起請求

同源檢測 + samesite cookie

類似於簽名,要求附帶源域產出的一些私密資訊

csrf token + 雙重cookie驗證

人工驗證

更多詳見:

美團web安全-csrf

host、referrer、origin

什麼是xss

xss是是一種**注入攻擊,或者說是一種插入式指令碼攻擊,攻擊者利用對瀏覽器、伺服器、資料庫的理解,在**中插入各種可以和**相關執行**組合並可執行的指令碼,之後在執行的時候不僅會執行**本身的**,還會執行攻擊者插入的指令碼。

比如獲取url上的query進行搜尋的搜尋框,原來是這樣的:

如果攻擊者注入這樣的**:

">
拼接後就會變成這樣:

">
當瀏覽器執行的時候,就會彈框。

對於服務端或者資料庫同樣可以利用類似原理進行攻擊。

這樣攻擊者就可以獲取cookie、修改資料庫等惡意操作了,非常危險。

常見xss攻擊

先儲存到服務端,比如資料庫,然後吐給瀏覽器,瀏覽器執行的時候觸發

使用者點選的時候觸發,比如攻擊者構造出特殊的url位址,服務端解析後返回的時候就已經有惡意**了。

同上,不過是直接就到瀏覽器了,執行後產生攻擊。

相對於前兩種,dom型是瀏覽器觸發的,其他兩個是服務端觸發的。

藥瀏覽器和服務端進行適當的**轉義即可防範大部分xss攻擊,除此之外,還可以禁止一些不安全的操作,比如載入外域**,控制內容輸入長度,http-only(禁止js操作cookie),驗證碼等.

還有csp - 內容安全策略

更多詳見:

美團web安全-xss

其實和xss攻擊中提及的資料庫部分是一樣的。

比如有這樣一段sql語句:

sql = "select * from users where name=" + name;
name是由使用者輸入之後生成的,這時候如果直接將name結果拼接:

select * from users where name='' or '1'='1';
這樣不僅執行了原本的sql,還執行了攻擊者的**。

解決方法同上。

說白了就是過載,玩過爐石應該能具象出一副過載的畫面吧~

你當前回合過載了,那你下回合就得休息休息。模擬服務端也是一樣的。如果處理的事務過多,後面的只能耐心等待(休息)。

藥我們可以限制ip的流量,有錢的話多整點服務也行,嘿嘿~

內容不多,但是盡量有用。

防盜煉

這篇就到這啦~

拜了個拜~

Web安全 Web通訊

協議 url http 統一資源定位符 uniform resource locator 支援多種協議 http ftp 定位伺服器的資源 schema host port path query string anchor schema 底層協議 如 http https ftp host 伺服器的...

安全測試,web安全

web分為好幾層,一圖勝千言 完全沒有基礎我該從哪下手?完全沒有基礎學習 web 安全是件比較難的事情,所以我給出的最小的方案和最少的建議。工具 先用 awvs 掃幾個測試 大體了解一下 把掃到的漏洞復現,了解怎麼利用,主要了解 xsssql 注入 遠端 執行 開發 書籍 細說 php 實踐 使用 ...

Web安全 密碼安全

就是為了證明 你就是你的問題 計算機為了識別人的時候,需要密碼。資料庫被偷 伺服器被入侵 通訊被竊聽 http協議被竊聽 內部人員洩密 通過撞庫的方式 嚴禁明文儲存 防洩漏 單向變換 變換複雜度分析 密碼複雜度的要求 明文 密文 是一一對應的。雪崩效應 只要明文一點點不一樣,密文是完全不一樣的。密文...