前端安全-CSRF攻击,sql注入,点击劫持

最新推荐文章于 2024-07-12 16:27:40 发布
最新推荐文章于 2024-07-12 16:27:40 发布
阅读量182 收藏
点赞数
文章标签: 前端 安全 网络攻击模型 安全架构 密码学 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WLANQY/article/details/128928018
版权

前言

随着官方对于用户隐私和数据使用上越来越严格,如何保护用户的信息也成为我们日常开发中需要关注的问题。下面给大家分享几个常见的点。

避免在设备上存储敏感信息

当我们需要在用户的设备上存储信息时:

  • 注意这两类数据:* 应用的密钥等私有数据* 用户的敏感信息

  • 不要共享未加密的敏感信息。如果需要存储,最好是先进行加密。在被破解的设备上,数据库什么的都能被读取。

  • 当我们需要存储密钥类的数据时(例如密码管理App),用keystore或keychains的加密。

虽然说最好是不要在本地存储用户敏感信息,但有时无法避免。那我们有哪些办法能加强安全性呢?

对于小的数据,现在有官方的 EncryptedSharedPreferences 来对内容加密。使用如下:

String masterKeyAlias = MasterKeys.getOrCreate(MasterKeys.AES256_GCM_SPEC);

SharedPreferences sharedPreferences = EncryptedSharedPreferences.create("secret_shared_prefs",masterKeyAlias,context,EncryptedSharedPreferences.PrefKeyEncryptionScheme.AES256_SIV,EncryptedSharedPreferences.PrefValueEncryptionScheme.AES256_GCM
);

// 当作普通的SP用就可以了 
SharedPreferences.Editor editor = sharedPreferences.edit();

对于数据流,可以用CipherInputStream和CipherOutputStream。他们可以用来封装普通的数据流,这样加解密的过程对于使用者来说就是“隐形”的。下面看看具体的例子:

// 初始化Cipher
final Cipher cipher = Cipher.getInstance("RSA");
cipher.init(Cipher.ENCRYPT_MODE, key);

// 封装加密数据流
OutputStream wrapped = new CipherOutputStream(out, cipher);

CipherInputStream的使用也类似。

注意系统自动备份

大家应该在manifest.xml里看到过allowBackup这个设置。它有什么作用呢?看看官方文档的原话:

是否允许应用参与备份和恢复基础架构。如果将此属性设为 false,则永远不会为该应用执行备份或恢复,即使是采用全系统备份方法也不例外(这种备份方法通常会通过 adb 保存所有应用数据)。此属性的默认值为 true。

就是说在默认情况下,应用会允许第三方将应用的词有存储进行转移。这种设计的本意可能是为了方便用户备份自己的设备。但是黑客会怎样利用这个呢?在一个解锁了的设备上,他们可以轻易地把数据从应用的私有存储复制到外面来窃取信息。

解决办法当然就是把它设为allowBackup="false"。这样可以保证用户的数据不会被转移到读取权限更低的地方。

注意:从 Android 6.0 起,allowBackup 也会影响系统自动备份功能上传数据至Google Drive(类似于 iCloud)。

如果要使用系统的自动备份功能,需要在 Google Drive 账户的fullBackupContent设置里声明可以被备份的文件列表。

使用 secure flag

不知道大家有没有注意过,有些应用当你在输入支付信息(例如银行卡号)时,没法截屏。很大可能是因为他们的应用启用了LayoutParams.FLAG_SECURE,作用就是其他应用无法对此应用截屏或录像。当这类应用显示在任务栏内时,会默认显示空白页面而不是当前内容的截图。

简单的实现如下:

class MainActivity : AppCompatActivity() {...override fun onCreate(savedInstanceState: Bundle?) {super.onCreate(savedInstanceState)window.setFlags(WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE)}...
}

从Android 5.0起,第三方应用只可以收集没有这个设置的应用的内容。想象一个场景,我们在应用A输入支付信息时,切去应用B发了条消息,如果应用A没有做这个设置,某些应用就可以偷偷截屏保存我们的支付信息。当然现在很多支付都有加强的验证,比如短信验证码。但是这类信息泄漏的话,还是会让人防不胜防。

总结

虽然我们日常开发不会天天接触到这些(就像CI/CD的设置),但是当我们实现了新功能需要发布时,对信息的安全性做一些检查,既是对用户负责,说不定也给自己和公司免去一些潜在的麻烦。

WLANQY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端性能优化与Web安全
08-26
3. **SQL注入**: - 攻击者构造恶意SQL语句获取数据库权限,防御方法包括转义或过滤输入值,使用ORM框架避免直接拼接SQL。 4. **HTTP数据劫持**: - 数据劫持通过篡改HTTP通信盗取信息或植入恶意代码,HTTPS协议...
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 8625
解决SQL注入的方法
java cipheroutputstream 解密到对象_Java:使用DES解密对象时发生StreamCorruptedException...
weixin_35238815的博客
02-26 234
我有两种方法来从Android内部存储中的文件进行加密保存和解密加载对象。加密和保存过程已完成,没有任何问题,但是当我要加载对象StreamCorruptedException时,inputStream = newObjectInputStream(cipherInputStream);我搜索的次数越来越多,但没有找到解决问题的方法。所有其他解决方案都是为了延长插座寿命或类似的。我的代码如下:pr...
前端安全:几种攻击模式
qq_39689241的博客
10-10 458
1.XSS攻击 主要是注入js代码,通过将js代码存入数据库或者通过修改 URL 参数的方式加入攻击代码,诱导用户访问链接从而进行攻击。 防御措施: 对字符串进行转义 通常来说主要针对script标签进行转义 function escape(str) { str = str.replace(/&/g, '&'); str = str.replace(...
jdbc的增删改查
ne_123456的博客
05-19 1227
1.查询数据库表中记录。 @Test //理解为main函数。可以独立运行。 public void testQuery() throws Exception { //抛出异常只是为了操作方便。真正在开发时应该try--catch Class.forName("com.mysql.cj.jdbc.Driver"); Connection conn = DriverManager.getConnection ("jdbc:mysql://localhost:3306/mydb?serv
网站安全之密码明文传输漏洞
owen_william的博客
03-26 2万+
1.  说明问题      相信关注笔者的读者应该有看过笔者之前写过的一篇文章——《keytool的用法》.这篇博客是介绍了如何生成系统使用的证书。而这个证书是在https中使用的,对于https的地址我们不用担心密码在传输时出现漏洞,也就是被别人强制性拦截然后获取。它在传输时是会加密的。但是对于http的协议就没那么好了,如果你不做一些工作的话,密码在传输的时候,很容易被拦截工具拦截,然后就可
Web-安全渗透全套教程漏洞扫描之Ap.zip
05-22
SQL注入是通过输入恶意SQL语句来获取未授权数据或操纵数据库攻击;文件包含漏洞允许攻击者远程包含恶意文件,从而获取服务器控制权;命令注入则能让攻击者通过输入框执行服务器上的任意命令。 接下来,理解HTTP...
web安全概览.pptx
06-30
本课件是组会作为分享使用,亦可作为团队前端安全培训入门使用,全课件主要讲解了sql注入,xss,csrf点击劫持等常见的web攻击手段,及其一些防范措施,对于初入web安全的领域的新手十分有帮助。
前端大厂最新面试题-horizon.docx
06-06
* SQL注入SQL注入是一种攻击方式,指的是攻击者在输入中 inject恶意SQL代码。 * DNS劫持:DNS劫持是一种攻击方式,指的是攻击劫持DNS解析请求。 * jsBridge:jsBridge是一种技术,指的是JavaScript和Native之间...
Secure-Login-PHP:通过跨站点脚本,SQL INJECTION和会话劫持进行安全的登录身份验证和注释防护
05-10
本项目“Secure-Login-PHP”旨在通过有效的安全措施,防止常见的Web攻击,如跨站点脚本(XSS)、SQL注入和会话劫持。本文将详细讲解如何利用PHP实现这一目标。 首先,我们要理解XSS攻击。跨站点脚本攻击允许攻击者...
CSRF、XSS、SQL注入、DDOS攻击、时序攻击分别是什么以及怎么防范
yang_ldgd的博客
09-15 1067
CSRF、XSS、SQL注入、DDOS攻击、时序攻击分别是什么以及怎么防范
【Django | 安全防护】CSRF跨站伪请求和SQL注入攻击
计算机魔术师的blog
08-22 3951
一、演示CSRF漏洞 二、环境准备 三、模拟黑客🐱‍👤 四、解决办法 五、SQL注入攻击漏洞
常见网络攻击及防御方法总结(XSS、SQL注入CSRF攻击
xiaohui的博客
04-05 3814
  从互联网诞生之初起,无时无刻不存在网络攻击,其中XSS攻击SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。 1、 XSS攻击   XSS攻击即跨站点脚本攻击(Cross Site Script),指的是攻击者通过篡改网页,注入恶意的HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。   常见的XSS攻击类型有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶
前端进阶(五)web安全
前端产品工程师
10-26 1296
一、XSS xss: 跨站脚本攻击(Cross Site Scripting,本来缩写是CSS,为了和层叠样式的CSS有所区别,所以在安全领域叫“XSS”。)是最常见和基本的攻击 WEB 网站方法。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。 ...
java中的Cipher类
热门推荐
孤云博客
01-03 7万+
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666) 该类位于javax.crypto包下,声明为 public class Cipher extends Object 此类为加密和解密提供密码功能。它构成了 Java Cryptographic Extension...
更新商品前端接口编写
最新发布
weixin_55639995的博客
07-12 160
那么在vue运行的时候,会加载所有的ref属性特征的元素还有组件。标签中ref的作用就是将 该组件注册到vue对象的ref属性中。使用插槽,那个scope就是代表着一行的数据。然后里面的选项遍历的是 js定义的数据。如果文字显示过多可以使用 文本隐藏显示。表单绑定还有表单数据的绑定。数据绑定使用的表单绑定状态。写form表单然后封装数据。状态的选择使用的是选择框。副标题使用的是文本域。状态页面使用,下拉框。富文本选择器使用组件。使用后端枚举类型去写。
Node多版本管理器NVM安装使用
GongWeiBuQi的博客
07-11 141
安装node很方便,只需要一条命令可以轻松切换node版本可以多版本node并存。
vue实现预览编辑ppt、word、pdf、excel、等功能的解决方案(内网-前端
m0_68271787的博客
07-10 580
在Vue中实现预览和编辑PPT、Word、PDF、Excel等文件的功能,尤其是在内网环境下且主要侧重于前端,我们需要明确的是,直接在前端编辑这些格式的文件(特别是PPT和Word)是非常复杂且通常不推荐的,因为这些格式涉及复杂的布局和格式设置。然而,我们可以实现预览功能,并可能通过一些间接方式支持简单的编辑(如表格数据的修改)。下面我将分别给出预览PPT、Word、PDF、Excel文件的Vue组件示例代码,并简要说明如何可能实现简单的编辑功能。
Javafx利用fxml变换场景的小细节
2301_80311013的博客
07-09 819
在这个代码中,在JavaFX中,FXMLLoader是用来加载FXML文件并将其转换为Java对象(例如控制器类)的工具。当您使用FXMLLoaderFXMLLoader在整个过程中,FXMLLoader是使用JavaFX的后台线程(也称为JavaFX线程)来执行这些操作的,这是为了保持UI线程的响应性。这意味着在用户界面(UI)线程中,您不会看到任何阻塞,即使FXMLLoader正在执行耗时的操作。当FXMLLoader完成加载并调用load()方法时,它会返回一个Parent。
93道网络安全面试题目
07-20
**SQL注入攻击** SQL注入攻击是一种常见的网络攻击方式,攻击者通过在HTTP请求中注入恶意的SQL代码,使服务器将恶意SQL构造成数据库命令并执行。例如,用户登录时输入用户名lianggzone,密码‘or‘1’=’1,服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值