预防被攻击最有效的安全技术/防范xss攻击的措施是-小白攻防详细教程

于 2024-05-11 11:47:08 发布
阅读量338 收藏 6
点赞数 4
文章标签: 请求 老王
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84915584/article/details/138708855
版权

预防被攻击最有效的安全技术/防范xss攻击的措施是-小白攻防详细教程

凡是我yii2学习社群的成员都知道,我不止一次给大家说构造表单100%使用yii2的来实现,这除了能和AR更好结合外就是自动生成csrf隐藏域,一个非常安全的举措。

今天北哥就给大家普及下csrf是啥?如果你已经知道了可以直接拉文章到底部点个赞。:smile:

CSRF(Cross-site 跨站请求伪造)是一种对网站的恶意利用,在 2007 年曾被列为互联网 20 大安全隐患之一。

关于CSRF,要从一个故事开始~

老王丢钱事件

这个故事要从程序员老王丢了1万块钱说起,总之是进了小偷,找回无果。丢钱后的老王一直在思考,钱是怎么丢的、为何丢钱、为何是我丢钱~~

后来老王出现了严重的心理问题,他决定报复社会。

老王首先研究了网银系统,他发现转账是通过GET形式

https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=abei

这意思就是说将 的1000元钱转给abei,当然当请求到达银行服务器后,程序会验证该请求是否来自合法的并且该的用户就是 并且已经登录。

老王自己也有一个银行账号 wang2,他尝试登录并且通过浏览器发送请求给银行,代码如下

https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=wang2

失败了~因为当前登录账号是老王自己,发送请求后服务器发现所属用户wang2和=并不是一个人,因此被拒绝。

也就是说这个操作必须是 自己才可以,复仇的力量是可怕的,老王通过层层找到了 就是快递员老刘的银行账号。

于是一个伟大的计划诞生了,老王的计划是这样的。

1、首先做一个网页,在网页中加入如下代码

src="https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=wang2"

然后通过各种情景让老刘()访问了此网页。

2、当老刘()访问此网页后,上面的请求会被发送到银行,此刻还会带着老刘()自己的浏览器信息,当然这样一般也不会成功,因为银行服务器发现老刘()并不在登录状态。

3、老王想了一个招,他在淘宝找了一个灰色商人老李,让他通过种种方法,总之让老刘()通过浏览器给老李转了一次款。

4、就在第三步操作的2分钟内,老王成功让老刘()再一次访问了自己做的网页,你知道的,此刻老刘()在银行的还没有过期,老王网页给银行服务器发送请求后,验证通过,打款成功。

5、老王收到了款,老刘()并不知道这一切,对于银行来说这是一笔在正常不过的转账。

这就是CSRF攻击,浏览器无法拦截。

CSRF攻击特点

基于上面血淋淋的故事,我们总结下CSRF攻击的几个特点。

CSRF防御对象

因此我们要保护的是所有能引起数据变化的客户端请求,比如新建、更新和删除。

CSRF防御方案

基于CSRF攻击特点,在业界目前防御 CSRF 攻击主要有三种策略:

HEEP

在http请求的时候,头部有一个叫做的字段,该字段记录本次请求的来源地址。因此服务器端可以通过此字段是否为同一个域名来判断请求是否合法,因为客户自己做的网页发起的请求,其为黑客网站。

这种方法最简单,并且不需要修改业务代码,我们只需要对到达服务器的每个请求做一次拦截分析即可。

但是此方法的缺点也是明显的,因为的值是浏览器的,虽然HTTP协议不允许去修改,但是如果浏览器自身存在漏洞,那么就有可能导致被人工设置,不安全。

比如IE6,就可以通过方法篡改值。

就算是最新的浏览器此方法也不是绝对可用的,这涉及了用户的隐私,很多用户会设置浏览器不提供,因此服务器在得不到的情况下不能贸然的决绝服务,有可能这是一个合法请求。

添加Token

CSRF攻击之所以能成功,是因为黑客完全伪造了一次用户的正常请求(这也是浏览器无法拦截的原因),并且信息就是用户自己的,那么我们如果在请求中放入一些黑客无法去伪造的信息(不存在与中),不就可以抵御了么!

比如在请求前生成一个token放到中,当请求发生时,将token从拿出来和请求提交过来的token进行对比,如果相等则认证通过,否则拒绝。token时刻在变化,黑客无法去伪造。

针对于不同类型的请求一般方案是

对于GET请求,这里有一点要说明,在一个网站中请求的url很多,一般情况我们是通过js对dom的所有节点进行遍历,发现a链接就在其href中增加token。

这里存在一个问题,比如黑客将自己网站的链接发到了要攻击页面,则黑客网站链接后面会有一个token,此刻客户可以通过编写自己网站代码得到这个token,然后用这个token立刻构造表单,发起CSRF攻击,因此在js遍历的时候,如果发现不是本站的链接,可以不加token。

网络安全学习路线图(思维导图)

网络安全学习路线图可以是一个有助于你规划学习进程的工具。你可以在思维导图上列出不同的主题和技能,然后按照逻辑顺序逐步学习和掌握它们。这可以帮助你更清晰地了解自己的学习进展和下一步计划。

1. 网络安全视频资料

2. 网络安全笔记/面试题

3. 网安电子书PDF资料

如果你向网安入门到进阶的全套资料,我都打包整理好了,需要学习的小伙伴可以V我找我拿~

学网络安全/学黑客,零基础资料整理来啦~~~

~

黑客小媚子
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
网络防范攻击策略
iteye_5722的博客
11-16 755
一 网络安全流程图 二 防范攻击策略 1、网络传输安全 网络传输安全一般由网络安全设备构成,常见的网络安全设备有硬件防火墙、网络入侵检测(IDS),路由、交换机等。 防火墙可以对进入网络设备的主机设置各种规则,保证互联网合法主机安全进入服务,局域网主机可以根据防火墙指定的规则访问互联网。 有些攻击行为可以在防火墙允许的规则内进行攻击。对于这种攻击,防火墙显得无能为力,此时可以使...
常见web攻击与防御策略
m18625221362的博客
01-29 1842
1.XSS 说明: XSS攻击全称 跨站脚本攻击(Cross Site Scripting),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS. XSS简单分为反射型、存储型(DOM型属于反射型的一种),其本质上是HTML注入,简单来说就是通过某种手段引诱受害者(用户)信任该脚本(或网站),进而可以使攻击方的代码在客户端
黑客攻防防范入侵攻击主要方法
瞎几把学
01-11 2416
  导读:防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术安全扫描、安全审计和安全管理。本文中将详细介绍每一种技术防范黑客攻击。关键词:入侵 攻击 访问控制 防火墙 入侵检测 安全扫描 审计 正在加载数据...   网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些
安全防护:脚本攻击防范策略完全篇
music_man的专栏
03-09 558
网络上的SQL Injection漏洞利用攻击,JS脚本,HTML脚本攻击似乎逾演逾烈。陆续的很多站点都被此类攻击所困扰,并非像主机漏洞那样可以当即修复,来自于WEB的攻击方式使我们在防范或者是修复上都带来了很大的不便。一个站长最大的痛苦莫过于此。自己的密码如何如何强壮却始终被攻击者得到,但如何才能做到真正意义上的安全呢?第一,别把密码和你的生活联系起来;第二,Supermaster的
常见的攻击方式以及防护策略
泪梦红尘的博客
05-07 2139
本文主要给大家介绍一下常见的几种网络攻击方式(包括CC,UDP,TCP)和基础防护策略! 1.0 常见的网络攻击方式 第一种CC攻击 CC攻击( ChallengeCoHapsar,挑战黑洞 )是DDoS攻击的一种常见类型,攻击者借助代理服务生成指向受害主机的合法请求,实现DDOS和伪装。CC攻击是一种针对Http业务的攻击手段,该攻击模式不需要太大的攻击流量,它是对服务端业务 处理瓶颈的精确打击,攻击目标包括:大量数据运算、数据库访问、大内存文件等,攻击者控制某些主机不停地发大量数据包给对方服务.
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
最新发布
04-07
PDF-XSS实例文件
Web安全XSS攻击与防御小结
10-17
总的来说,理解XSS攻击的原理、类型和防范措施对于保障Web应用程序的安全至关重要。开发者应时刻警惕用户输入,严格验证和过滤数据,同时利用编码和内容安全策略等技术,构建起坚固的防线,防止XSS攻击对用户的威胁...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9017
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
文件上传漏洞
weixin_59872639的博客
02-22 1万+
文件上传 文件上传是现代互联网常见的功能,允许用户上传图片、视频、及其他类型文件,向用户提供的功能越多,Web受攻击的风险就越大。 文件上传漏洞 上传文件时,如果未对上传的文件进行严格的验证和过滤,就容易造成文件上传漏洞,上传脚本文件(包括asp、aspx、php、jsp等) 恶意上传行为可能导致网站甚至整个服务被控制。恶意的脚本文件又被称为WebShell,WebShell具有强大的功能,如查看服务目录、服务中文件、执行系统命令等。 文件上传漏洞成因 文件上传漏洞的成因(复杂),一方
人工智能——机学习
咸鱼菌
02-18 1818
人工智能——机学习什么是机学习监督学习分类问题回归问题函数过度学习无监督学习聚类k-means方法强化学习 什么是机学习 让机设备(计算机)学习,也就是所谓的“机学习”。 比如计算机通过学习能够自发认识到不同品种的猫都是猫,能够假设各种不同的情况,并且知道不同情况下如何应对。在没有人为设定的程序下也能自动完成任务,就必须要让计算机学习事物的特征和规则,这就是机学习。 机学习大致分为【监督学习】【无监督学习】【强化学习】 监督学习 监督学习就是将数据和正确答案的组合导入计算机内令其学习特征和规
学习从理论到实践(常见算法)
m0_52118763的博客
02-23 1782
学习引言 1.1 机学习是什么?先看下面这张图片 我们人是怎么分辨的,可能是通过是否有胡须,喉结,长发短发等特征区别的。那么机如何完成这个过程。 “学习”的概念 请分别讨论下列各组数据的内部关系,并填空。 y1y_1y1​ = x1x_1x1​ + 1.5 y2y_2y2​ = x22x_2^2x22​ + 1.5 y=x132+x22+1y = x_1^\frac{3}{2} + x_2^2 + 1y=x123​​+x22​+1 下列鸢尾花分别属于哪一类:setosa、versicolor、vir
7. 吴恩达机学习课程-作业7-Kmeans and PCA
wujing1_1的博客
02-22 1034
fork了别人的项目,自己重新填写,我的代码如下 https://gitee.com/fakerlove/machine-learning/tree/master/code 代码原链接 文章目录7. 吴恩达机学习课程-作业7-Kmeans and PCA7.1 k-means7.1.1 题目介绍7.1.2 算法流程7.1.3 实现k-means7.1.4 测试7.2 图像压缩与k-均值7.3 PCA7.3.1 题目介绍7.3.2 算法流程7.3.3 代码1) 示例数据集2) 实现PCA3) 脸图像数据集
小型无线摄像头怎么用 小型无线WiFi摄像头任何连手机
速名网
02-23 9140
小型无线摄像头是什么样子的呢?从字面上理解,小型意味着体积小,便携以及简单。无线意味着无需外接线,本身带锂电池或者数据线接充电供电。摄像头意味着是一体机或者单纯的USB摄像镜头。将这三者合起来,小型无线摄像头就在我们心中有初步的概念了。
【Zabbix】Zabbix网络自动发现
宝耶需努力的技术分享博客
02-25 5691
一、参考链接 阿里巴巴开源镜像站-OPSX镜像站-阿里云开发者社区 (aliyun.com) zabbix镜像-zabbix下载地址-zabbix安装教程-阿里巴巴开源镜像站 (aliyun.com) 1 网络发现 (zabbix.com) 二、Zabbix网络自动发现介绍 Zabbix为用户提供了高效灵活的网络自动发现功能。 适当的网络发现配置可以: 加快Zabbix部署 简化管理 无需过多管理,也能在快速变化的环境中使用Zabbix Zabbix网络发现基于以下信息: IP范围 可用的外部服务(F
【Linux编程】手把手教你搭建Linux编程环境
大家好我叫张同学
02-22 7371
Linux编程环境搭建有两套方案。 关于这两套方案我都会做详细的讲解,以便帮助大家减少Linux编程学习的 障碍。 方案一:云服务 + Xshell 这种方案就是将我们的Linux操作机部署在云服务上面,然后通过Xshell在自己的电脑上操纵Linux机。 优点:Linux环境部署简单、后期维护成本低、可以随便瞎折腾、不用担心整崩了(推荐) 缺点....
学习中的数学——梯度下降法(Gradient Descent)
热门推荐
冯·诺依曼
02-23 1万+
多数深度学习算法都涉及某种形式的优化。优化指的是改变xxx以最小化或最大化某个函数f(x)f(x)f(x)的任务。我们通常以最小化f(x)f(x)f(x)指代大多数最优化问题。最大化可经由最小化算法最小化−f(x)-f(x)−f(x)来实现。我们把要最小化或最大化的函数称为目标函数或准则。当我们对其进行最小化时,也把它称为代价函数、损失函数或误差函数。我们通常使用一个上标∗^∗∗表示最小化或最大化函数的xxx值,如记x∗=arg⁡min⁡f(x)x^∗=\arg \min f(x)x∗=argminf(x)
XSS攻击详解:跨站安全漏洞的危害与防范
XSS跨站攻击是一种不容忽视的Web安全威胁,了解其原理、分类、防范方法以及获取相关教育资源对于维护网络安全至关重要。在开发和维护Web应用程序时,开发者应充分认识到XSS的风险,并采取适当措施来降低被攻击的可能...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值