appsecmonkey.com应用安全

最新推荐文章于 2024-09-26 10:06:44 发布
最新推荐文章于 2024-09-26 10:06:44 发布
阅读量159 收藏
点赞数
文章标签: 网络 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/126679261
版权

Web Security – AppSec Monkey

本节主要面向希望创建安全 Web 应用程序的开发人员。

基本

跨域资源共享 (CORS)
了解如何在需要时使用跨域资源共享 (CORS) 来放宽同源策略。
同源政策
浏览器安全模型的核心。如果您想了解不同的客户端攻击和防御,了解 SOP 很重要。

攻击与预防

点击劫持
了解点击劫持攻击和防御。
CSRF
了解跨站点请求伪造 (CSRF) 攻击和防御。
中间人
了解中间人 (MITM) 攻击和防御。
会话固定
了解会话固定攻击和防御。
SQL 注入
了解 SQL 注入攻击和防御。
制表符
了解 tabnabbing 攻击和防御。
XS-泄漏
了解跨站点信息泄漏攻击和防御。
跨站脚本
了解跨站点脚本 (XSS) 攻击和防御。
XXE
了解 XML 外部实体 (XXE) 攻击和防御。

COOKIE 安全

清除 COOKIE
了解如何正确清除 cookie。
HTTPONLY COOKIE
了解 HttpOnly cookie 属性如何保护 cookie 免受 XSS 攻击。
SAMESITE COOKIE
了解 SameSite cookie 如何保护您的 Web 应用程序免受 CSRF、XSS、跨站点信息泄露等。
安全 COOKIE
了解安全 cookie 属性如何保护 cookie 免受 MITM 攻击。
__主机前缀
饼干的名字很重要!了解 __Host 前缀。

安全标头

访问控制允许凭据
了解如何在 CORS(跨域请求共享)中允许 cookie
访问控制允许标头
了解如何在 CORS(跨域请求共享)中允许未列入白名单的标头
访问控制允许方法
了解如何在 CORS(跨域请求共享)中允许未列入白名单的方法
访问控制允许来源
了解如何在 CORS(跨域请求共享)中允许来源
内容安全策略
了解 CSP(内容安全策略)标头如何保护您的 Web 应用程序免受 XSS 攻击。
跨域开启者策略
了解 Cross-Origin Opener Policy (COOP) 如何保护您的 Web 应用程序免受跨站点信息泄露。
跨源资源策略
了解跨域资源策略如何保护您的 Web 应用程序免受跨站点信息泄漏和其他客户端攻击。
获取元数据标头
了解如何使用新的 fetch 元数据标头来防御前所未有的跨站点攻击。
严格的运输安全
了解 HSTS(HTTP 严格传输安全)标头如何保护您的 Web 应用程序免受 MITM 攻击。
X 框架选项
了解 X-Frame-Options 如何防止其他网站构建您的页面。

工具和资源

CSP 工具
用于创建、修改和分析 CSP(内容安全策略)标头的浏览器内工具。
现在就试试
安全功能浏览器支持
最重要的安全功能的最新浏览器支持表。
打开
WEB 应用程序安全检查表
用于保护现代 Web 应用程序的 70 多个步骤指南,包括开发生命周期、基础设施和架构。
allway2
关注
关于应用安全application secuirty
小雨的博客
09-22 197
应用安全appsec,开发安全,SDLC
Web 应用程序安全检查表
allway2的博客
09-05 1586
避免在文件路径中使用不受信任的数据,或者更好的是,完全避免使用文件系统,而更喜欢例如云存储。如果您的用户已登录并在另一个网站上打开指向该应用程序的链接,则打开的选项卡/窗口将不会为用户登录。任何网站都可以打开与您的应用程序的 WebSocket 连接,如果您使用基于 cookie 的身份验证,则可以访问登录用户的信息。攻击,即网络上的攻击者拦截浏览器发出的第一个 HTTP 请求(通常是未加密的)并立即伪造对该未加密 HTTP 请求的回复,假装是服务器并降级从那时起与截获的明文 HTTP 的连接。
Cookie 安全
allway2的博客
09-05 1896
攻击者将会话标识符强制输入目标用户的浏览器,然后等待用户登录。出于本文的目的,请注意计时攻击是可能的,因为浏览器在跨站点请求中包含会话 cookie。在本文中,您将了解有关 HTTP cookie 安全性、什么是与 cookie 相关的攻击以及如何防御它们的所有信息。在 http:// 或 ws:// 请求中包含使用属性设置的 cookie,只有 https:// 和 ws://。请注意会话 cookie 是如何通过未加密的连接传输的,该会话 cookie 仅应在 HTTPS 页面上使用。
内容安全策略 (CSP)
allway2的博客
09-05 6478
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
CORS(跨域资源共享)
allway2的博客
09-05 665
如果您想弄清楚为什么即使您拥有所有正确的标头,浏览器也不发送您的cookie,那可能是SameSite cookie在起作用。这是一个很好的问题,答案很简单:我们发送两个请求。:如果您指定这样的 CORS 标头,您将给予允许的来源完全控制您的网站,包括任何经过身份验证的用户数据和功能。好的,既然您了解了同源策略对您的限制,我将告诉您什么是 CORS,以及它如何帮助您以可控的方式绕过这些限制。您可以使用浏览器的开发人员工具进行验证,或者更好的是,在您的浏览器和网络服务器之间设置一个代理工具,例如。
CSRF(跨站请求伪造)攻击和预防
allway2的博客
09-05 768
但是,如果您遵循上述注意 HTTP 动词的规则,这对于 CSRF 保护来说不是必需的。幸运的是,只要您使用支持 CSRF 令牌并明确 HTTP 动词的体面、现代的应用程序平台,它们也很容易避免。当使用 cookie 进行会话管理的 Web 应用程序无法验证 HTTP POST 请求的来源时,通常会出现 CSRF(跨站点请求伪造)漏洞。防止这些攻击的常用方法是使用称为 CSRF 令牌的东西。您应该将令牌绑定到预身份验证会话(当用户进行身份验证并为用户提供新的会话 ID 时,您应该将其丢弃,但这是另一回事)。
同源政策 (SOP)
allway2的博客
09-05 667
其目的是将浏览器窗口(和选项卡)相互隔离,例如,当您访问 example.com 时,该网站将无法读取您来自 gmail.com 的电子邮件,而您可能在另一个网站上打开了这些电子邮件标签。这意味着,如果您在网站的 iframe 中加载恶意网站,该框架可以将您网站的 URI 更改为例如网络钓鱼页面(克隆您的页面,例如窃取用户密码或让他们下载恶意的东西)。:如果您指定这样的 CORS 标头,您将给予允许的来源完全控制您的网站,包括任何经过身份验证的用户数据和功能。它谈论的是预检请求和请求模式。
XS-Leaks(跨站点泄漏)攻击和预防
allway2的博客
09-05 751
但可以说,防止与缓存相关的 xsleaks 向量的最有效方法是完全禁用您网站的缓存。知道浏览器是否在某处导航(例如,重定向),通常可以推断出关于用户的数据。然后,攻击者可以创建一个恶意网站,对“diabetes” URL 的请求进行计时,并确定用户是否患有糖尿病。当用户访问网站时,这些网站的资源通常会被缓存并存储在用户的磁盘上,因此不必再次下载。如果网站获得窗口句柄,则来自一个来源的网站可以限制访问另一个来源的窗口。不幸的是,基于时间和错误的 xsleak 变体可以利用这一点并确定用户之前是否访问过网站。
HSTS(HTTP 严格传输安全
allway2的博客
09-05 3425
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问该网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何未加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。
计算机网络笔记001
cocofu的博客
09-22 772
通信网络研究的是通信终端(如电话)和内部通信问题,而计算机网络则更关注计算机之间的联网和通信,比如我们的Wi-Fi网络。分布式系统是一种建立在计算机网络之上的、 具有高度内聚性 ( Cohesiveness ) 和透明性 ( Transparency ) 的系统, 呈现给用户的是一 个统一的系统, 好像是一台计算机 。#### 学生D:云计算平台也是,像AWS,不同的服务如存储、计算和数据库虽然独立,但通过一个统一的管理界面和API协作,用户感觉是一个整体。#### 老师:没错,这是一部分。
kubernetes网络(一)之calico详解
鲜少伟的博客
09-22 1148
本文介绍Kubernetes最流行的网络解决方案calico。
netty编程之基于websocket发送二进制数据
wang0907的博客
09-20 559
本文看下基于websocket发送二进制数据。
linux网络编程5
qq_65818377的博客
09-21 853
将套接字修改为被动,让操作系统给该套接字设置一个连接队伍,用来记录所有连接到该套接字的连接。关闭使用socket函数创建的套接字,会导致服务器无法接收新的连接,但不会影响已经连接的;其是关闭一个代表已经连接套接字,则会出现向另外一端接收到一个长度为0的数据包;关闭accept返回的套接字,则会导致其连接关闭,但不会影响服务器的;backlog:连接队列的长度,即设置服务器最大的连接客服的数量。其返回的是一个已连接的套接字,这个套接字代表当前这个连接。connect建立连接后不会产生新的套接字;
7、论等保的必要性
weixin_43263566的博客
09-21 1036
目前,金融、电力、广电、医疗、教育等行业已经下发了相关文件。2007年6月发布的《信息安全等级保护管理办法》(公通字[2007]143号)规定了实施该制度的原则、内容、职责分工、基本要求和实施计划,明确了操作办法。梳理不同等级的系统后,应对其进行相应等级的安全防护建设,确保重要信息系统在遭受攻击时能够有效抵御,或在被攻击后快速恢复应用,以避免重大损失或影响。开展等级保护的最重要原因是通过测评工作,发现单位系统内外部的安全风险和脆弱性,整改后提升信息安全防护能力,降低被各种攻击的风险。
BGP相关知识笔记
Richardlygo的博客
09-23 1163
整个网络规模扩大,路由数量进一步增加,路由表与LSDB规模变大,路由收敛变慢,设备性能消耗加大为此在AS之间专门使用BGP协议进行路由传递,相较于传统的IGP路由协议:BGP基于TCP,只要能够建立TCP连接即可建立BGP只传递路由信息,不会暴露AS内的拓扑3。
C++ 解析 RDP 协议
道亦无名
09-22 359
远程桌面协议(Remote Desktop Protocol, RDP)是微软开发的一种网络通信协议,用于提供远程桌面会话服务。它允许用户通过网络连接至远程计算机,并像使用本地计算机一样操作远程系统。本文档将详细探讨在C++环境中如何解析RDP协议,涵盖协议层次解析、连接过程管理、数据加密解密、功能数据处理、错误与异常处理以及协议版本适配等方面。
【计算机网络 - 基础问题】每日 3 题(十七)
Newin2020的博客
09-21 670
✍个人博客:Pandaconda-CSDN博客📣专栏地址:http://t.csdnimg.cn/fYaBd📚专栏简介:在这个专栏中,我将会分享 C++ 面试中常见的面试题给大家~📝推荐参考地址:https://www.xiaolincoding.com/(这个大佬的专栏非常有用!
【计算机网络】--URL统一资源定位符
最新发布
weixin_65728773的博客
09-26 142
一个网站地址实例scheme——定义因特网服务的类型,常见的类型是httphost——定义域主机(http的默认主机是www)domain———定义因特网的域名,例如,jinyun.fun:port——定义主机上的端口(http默认端口号是80)path——定义服务器上的路径(如果省略,则文档必须位于网站的根目录)filename——定义文档/资源的名称。
网络编程】网页的显示过程
YQ20210216的博客
09-22 344
首先我们知道网页经过网络总共有应用层,传输层,网络层,数据链路层,物理层。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值