一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
如何防范XSS攻击呢?
主旨:防⽌攻击者提交恶意代码,防⽌浏览器执⾏恶意代码
- 对数据进⾏严格的输出编码:如HTML元素的编码,JS编码,CSS编码,URL编码等等
避免拼接 HTML;Vue/React 技术栈,避免使⽤ v-html / dangerouslySetInnerHTML
- CSP HTTP Header(内容安全策略),即 Content-Security-Policy(不⽀持CSP的旧版浏览器可以设置X-XSSProtection,
增加攻击难度,配置CSP(本质是建⽴⽩名单,由浏览器进⾏拦截)
Dom型XSS的防御,还是依赖于参数校验、过滤、转义等方法,以及加CSP(内容安全策略),它可以禁⽌加载外域代码, 禁⽌外域提交等等
Content-Security-Policy: default-src ‘self’ -所有内容均来⾃站点的同⼀个源(不包括其⼦
域名)
Content-Security-Policy: default-src ‘self’ *.trusted.com -允许内容来⾃信任的域名及其
⼦域名 (域名不必须与CSP设置所在的域名相同)
Content-Security-Policy: default-src https://lubai.com -该服务器仅允许通过HTTPS⽅式
并仅从lubai.com域名来访问⽂档
禁⽌加载外域代码,防⽌复杂的攻击逻辑。
禁⽌外域提交,⽹站被攻击后,⽤户的数据不会泄露到外域
-
输⼊验证:⽐如⼀些常⻅的数字、URL、电话号码、邮箱地址等等做校验判断
-
开启浏览器XSS防御:Http Only cookie,禁⽌ JavaScript 读取某些敏感 Cookie,攻击者完成
XSS 注⼊后也⽆法窃取此 Cookie。
- 验证码
本质:使用用户的Cookie
受害者登录A站点,并保留了登录凭证(Cookie)。
攻击者诱导受害者访问了站点B。
站点B向站点A发送了一个请求,浏览器会默认携带站点A的Cookie信息。
站点A接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是无辜的受害者发送的请求。
站点A以受害者的名义执行了站点B的请求。
攻击完成,攻击者在受害者不知情的情况下,冒充受害者完成了攻击。
POST类型的CSRF
通过表单提交,相当于模拟用户完成一次POST操作
点击抽奖按钮,触发了攻击者隐藏的转账操作,相当于无意中在自己的浏览器上执行了http请求
这就是所谓的CSRF跨站请求伪造:攻击者伪造了转账请求,用户在不知情的情况下,完成了转账操作。
链接类型的CSRF
用户点击链接才会触发
CSRF分析及解决方案
CSRF通常发生在第三方域名,CSRF攻击者不能获取到Cookie等信息,只是使用
解决方案:
1.校验refer,它记录了该 HTTP 请求的来源地址。
2.Cookie SameSite 属性 strict 完全禁止第三方cookie ,Lax img post iframe 不会携带cookie
3. 校验token
4.加验证码
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。
CSRF漏洞检测:
检测CSRF漏洞是一项比较繁琐的工作,最简单的方法就是抓取一个正常请求的数据包,去掉Referer字段后再重新提交,如果该提交还有效,那么基本上可以确定存在CSRF漏洞。
随着对CSRF漏洞研究的不断深入,不断涌现出一些专门针对CSRF漏洞进行检测的工具,如CSRFTester,CSRF Request,Builder等。
以CSRFTester工具为例,CSRF漏洞检测工具的测试原理如下:使用CSRFTester进行测试时,首先需要抓取我们在浏览器中访问过的所有链接以及所有的表单等信息,然后通过在CSRFTester中修改相应的表单等信息,重新提交,这相当于一次伪造客户端请求。如果修改后的测试请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
DNS劫持
通过修改运营商的本地DNS记录,来引导用户流量到缓存服务器
HTTP劫持
由于http明文传输,运营商会修改你的http响应内容(即加广告)
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!