关闭

安全性

209人阅读 评论(0) 收藏 举报
分类:

今天到公司比较早,登陆火狐浏览器

发现提示了我信息可能有泄露风险,点进去看了下,以下是火狐提示的一些安全性信息。

1.在HTTP之上运行登录表单. 即使表单的action对象是HTTPS链接,用户的登录表单信息也会受到威胁,因为攻击者能够通过用户修改用户接收到的页面(例如,攻击者插入键盘记录脚本来盗取用户输入的密码.他们还能改变表单目的页从而将敏感信息传递到受他们控制的服务器).这是一个屏幕截图,显示的是网页控制器的安全面板中对这个问题的警告以及相关的警告信息:

这个不太懂,意思可能是不能够直接在打开的网址上输入用户名和密码等敏感信息,这样的话信息可能被截取,这类似于SQL绕过客户端直接攻击服务器,但是正常情况下是可以将服务器设置为禁止SQL语句输入和脚本来避免的,不知道火狐提示的这句话具体是指什么形式的安全性问题。

2.在表单的action链接中使用HTTP链接.在这种情况下,用户输入的任何信息都将以明文方式通过网络传递.这样,从密码离开用户的电脑到密码到达服务器过程中,用户的密码将清楚地展现在任何嗅探用户网络的人眼前

这个意思是在表单书写的时候,action直接写的是浏览器的网址,即例如:

<form id=example action="www.baidu.com" method="post"><label></label></form>

这样一种形式的form表单的action的书写格式,我们知道,必需的 action 属性规定当提交表单时,向何处发送表单数据。action表明了我们向何处发送表单数据,通常形式是.xx.jsp格式,这里提示我们如果输入的网址的话,则存在严重的安全性问题。具体为什么,现在还不太理解。

3..在网页iframe中递交登录表单(或是嵌入在HTTP frame中的HTTPS frame).即使最上层页面是HTTPS,但在HTTP iframe中包含密码域和在HTTP页面中包含密码域是没有区别的.攻击者同样能够修改这个页面以及偷取用户信息.

意思还是不能在frame中登陆

4.密码重用也是一个大问题.用户可能在不同的站点使用相同的密码(新闻网页,社交网络,电子邮箱及其银行).因此即使通过用户名及密码登陆你的网页对你来说不是很大的问题,对于重复使用相同用户名及密码来登陆他们银行账户的用户来说却是一个极大的威胁.网络攻击者正变得越来越聪明.他们在一个网站同时盗取用户名及密码然后在另一个可能能给他们带来金钱的网站上使用这些密码.

即我们经常说的"撞库",字面意思是撞击数据库,其实本意是指拿一个数据库中的信息去与验证另外一个数据库中是否有同样的账户,这也是一个最常见的攻击手段,因此我们常用的网站最好不要设置相同的账户名和密码。

同事已经来了,开始工作吧。

有句话说:专精一门,就能成为专家。

可是现在互联网纷繁复杂,什么都想学,与只学一门到底改选哪个?


0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:18595次
    • 积分:1237
    • 等级:
    • 排名:千里之外
    • 原创:104篇
    • 转载:32篇
    • 译文:1篇
    • 评论:0条