WEB安全
iku!!
这个作者很懒,什么都没留下…
展开
-
【读书笔记】白帽子讲Web安全 第3章 跨站脚本攻击(XSS)
在客户端JavaScript和服务端代码实现相同的输入检查,阻挡大部分误操作的正常用户,节约服务器资源。可以结合XSS Filter,但是XSS Filter对语境的了解不完整,可能会改变用户数据的语义。窃取Cookie,Cookie的“HttpOnly标识可以防止Cookie劫持。XSS主要发生在MVC架构中的View层——在应用拼接变量到HTML页面时产生。通过修改页面的DOM节点形成XSS,从效果上来说也是反射型XSS。把用户输入的数据存储在服务器端。要在正确的地方使用正确的编码。原创 2023-03-31 16:20:56 · 94 阅读 · 0 评论 -
【读书笔记】白帽子讲Web安全 第2章 浏览器安全
以flash为例,它主要通过crossdomain.xml判断,通过检查HTTP头中的“Content-Type"来防止一些攻击通过上传crossdomain.xml文件来控制flash,绕过同源策略。Firefox4 Content Security Policy(CSP) 服务器返回一个HTTP头,描述应该遵守的安全策略.CSP配置规则复杂,未推广开。***如今的Sandbox泛指“资源隔离类模块”。让不可信任的代码运行在一定的环境中。IE8的多进程结构:每个Tab页是一个进程。原创 2023-03-31 14:57:11 · 68 阅读 · 0 评论 -
【读书笔记】白帽子讲Web安全 第1章
数据完整且不被纂改,比如数字签名)、可用性(Availability;Secure By Default原则(黑名单与白名单、最小权限原则),纵深防御原则,数据与代码分离原则、不可预测性原则。互联网安全的核心问题的数据安全的问题。确定资产等级划分后,划分信任域和信任边界。未考虑过安全的产品是不完整的。没有不安全的业务,只有不安全的实现方式。好的安全方案应该具备的特点:能够有效解决问题、用户体验好、高性能、低耦合、易于扩展与升级。一般采取头脑风暴方法去确定攻击面,也可以通过模型,比如微软STRIDE模型。原创 2023-03-31 10:08:46 · 116 阅读 · 0 评论