Web安全

最新推荐文章于 2024-05-28 22:24:55 发布
最新推荐文章于 2024-05-28 22:24:55 发布
阅读量86 收藏
点赞数
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javagty6778/article/details/129109328
版权

同源策略

何为同源

同源策略指的是协议、域名、端口都相同。

同源策略的目的

如果没有同源策略,当我们打开一个银行的网站的时候,如果这时候打开了另外一个恶意网站,恶意网站将会做很多事情,比如:

  • 修改银行站点的DOM、CSSDOM等
  • 在银行站点内部插入javascript脚本
  • 劫持用户登陆的用户名和密码
  • 读取银行网站的cookie、indexDB等数据
  • 伪造转账请求等 由此课件,如果不加限制,网络世界将变得十分混乱。所以同源策略的目的是:保护用户信息的安全,防止网站恶意的窃取数据。
限制内容

虽然同源策略的限制都很有必要,但是有的时候会很不方便,合理的用途也会收到影响。那么如何合理的规避这些限制呢?下面我们分析一下。

  • 数据层面:cookie、localStorage、IndexDB无法读取* cookie:cookie是写入浏览器的一小段信息,但是只有同源才能共享,但是对于两个只有二级域名不同的网页,可以通过document.domain来设置* LocalStorage和IndexDB:使用postMessage
  • Dom层面:Dom无法获得* postMessage
  • 网络层面:Ajax请求无法发送* JSONP:利用<script>标签没有跨域限制的“漏洞”。网页通过添加一个<script>标签,向服务端请求json数据,服务端接收到请求之后,将数据放在一个指定名字的回调函数里返回来。* CORS:全称是跨域资源共享,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

XSS 攻击

什么是XSS攻击

XSS(Cross Site Scripting)全称就是跨站脚本攻击。我们的页面中是可以引用第三方资源的,黑客往HTML或者DOM中注入了恶意脚本,从而在用户浏览页面的时候利用注入的恶意脚本对用户实施攻击。最开始这种攻击是通过跨域来实现的,但是发展到现在之后,跨域已经不是唯一的方式了,但是XSS这个名字却一直沿用至今。

恶意脚本会导致什么问题呢?
  • 窃取用户信息:js可以通过document.cookie获取cookie信息,就可以在其他电脑上模拟用户的登陆。
  • 监听用户行为:可以使用addEventListener来监听事件,比如键盘输入身份证号
  • 修改dom:伪造假的登陆窗口
  • 在页面内生成浮窗广告,影响用户体验
恶意脚本常见的注入方式
  • 存储型XSS攻击* 利用网站漏洞输入一段js代码,并将此代码存入到数据库中。用户向网站请求包含了恶意js脚本的页面。恶意脚本将用户的cookie等信息窃取。
  • 反射型XSS攻击* 脚本代码加入到url参数中,比如当打开http://localhost:3000/?xss=<script>alert('你被xss攻击了')</script>这段URL时,页面会显示弹框。黑客可能会利用此漏洞,诱导我们点击QQ或者邮件的恶意连接。
  • 基于DOM的XSS攻击:在 Web 资源传输过程或者在用户使用页面的过程中修改 Web 页面的数据。
如何阻止XSS攻击呢?
  • HttpOnly:由于很多XSS攻击都是来盗用Cookie的,因此还可以通过使用HttpOnly属性来保护我们Cookie的安全。
  • 通过服务器对输入的内容进行过滤或者转码
  • 充分利用CSP

CSRF攻击

什么是CSRF攻击?

CSRF又称跨站请求伪造,是指黑客引诱用户点开黑客的网站,利用用户的登陆状态发起跨站请求,简单来讲,CSRF攻击就是黑客利用了用户的登陆状态,并通过第三方的站点来做一些坏事。

如何阻止CSRF攻击呢?
  • Cookie的SameSite属性:具体讲解可以观看cookie的讲解。对于防范CSRF攻击,我们可以针对实际情况将一些关键的Cookie设置为Strict或者Lax模式
  • 验证请求的来源站点:在服务器端验证请求来源的站点
  • CSRF Token:在浏览器向服务器发起请求时,服务器生成一个 CSRF Token。在浏览器端如果要发起转账的请求,那么需要带上页面中的 CSRF Token,然后服务器会验证该 Token 是否合法。### 如何入门网络安全
建议

多看书

阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。

现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难,那就找自己能看得进的 Web 安全的书

当然纸上谈兵终觉浅,最好还是实践一下。

对于那些没有学习方向和资料的同学,可以看下我整理的资源,这份资料经历过社会的实践,可以说是当下全网较全的网络安全知识体系:
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

哈喽沃德er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入理解web安全攻防策略
m0_71745484的博客
01-28 614
互联网时代,数据安全与个人隐私信息等受到极大的威胁和挑战,本文将以几种常见的攻击以及防御方法展开分析。
常见的Web安全攻防
bluemoon_0的博客
01-17 856
常见的Web安全攻防
Web安全基础篇
hack0919的博客
04-04 1737
黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
2021年新版OWASP10有哪些变化?
告白的博客
01-07 855
0x00 2021年版Top10有哪些变化? 官方:2021年版Top10产生了三个新类别,原有四个类别的命名和范围也发生了变化,且进行了一些整合。考虑到应关注根本原因而非症状,我们更改了一些类别的名称(*来源于社区调查结果)。 0x01 TOP10变化的解读 A01:2021-失效的访问控制 Broken Access Control 从第5位上升成为Web应用程序安全风险最严重的类别;提供的数据表明,平均3.81%的测试应用程序具有一个或多个CWE,且此类风险中CWE总发生漏洞应用数超过31.8
【网络信息安全Web 安全
qdwd888的博客
04-20 609
特定安全服务为特定应用定制体现,将安全服务直接嵌入在应用程序中。 [](()12.3 SSL协议 ============================================================================= [](()12.3.1 SSL概述 Secure Socket Layer,安全套接层协议,会话层,由 Netscape 推出。 主要实现 Web 服务器和浏览器之间的安全通信。 在 应用层协议 和 TCP/IP 协议之间提供机密性、完整性、服
web安全
持续学习,坚持原创,分享技术笔记及经验。
03-12 3998
web应用 认证:验证用户是否合法, 比如登录密码认证,人脸认证,短信验证,指纹; 鉴权:验证用户的操作权限,对应角色,不同的角色拥有不同的权限; 审计:后台服务会记录用户的操作,方便日后追踪定责;比如对网站的恶意攻击者发起法律维权; XSS: 跨站脚本攻击; 利用浏览器漏洞,通过执行黑客编写的js脚本来。可以窃取用户的cookie 密码 按键轨迹; 防护:用户的一切输入皆不可信。验证用户的输入,黑名单,白名单。特别的如果通过过滤用户输入,比如过滤一切<javasrcipt>和
Web安全基本概念
weixin_43994244的博客
03-04 7195
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
常见六大Web安全问题
letianxf的博客
11-26 7110
一、 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS(因为缩写和 CSS重叠,所以只能叫 XSS),是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 原理 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私
Web安全实战
01-30
本章将主要介绍使用Node.js开发web应用可能面临的安全问题,读者通过阅读本章可以了解web安全的基本概念,并且通过各种防御措施抵御一些常规的恶意攻击,搭建一个安全web站点。在学习本章之前,读者需要对HTTP协议...
web 安全
03-23
web 安全
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
黑龙江等保测评:强化网络安全的北方防线
2301_79527080的博客
05-28 308
二、黑龙江等保测评的实践探索1. 法规政策引领:黑龙江省积极响应国家网络安全法律法规要求,出台了一系列地方性政策文件,明确了等保测评的实施标准和要求,为全省范围内的等保工作提供了法律依据和指导。2. 强化合规意识:等保测评的实施增强了组织和个人的网络安全合规意识,推动了网络安全法律法规的落实,形成了良好的网络安全文化氛围。3. 促进产业发展:等保测评需求带动了网络安全服务市场的繁荣,促进了本土网络安全企业的成长,同时也吸引了国内外先进技术和服务的引进,为黑龙江乃至东北地区的数字经济转型提供了安全保障。
网络安全行为可控定义以及表现内容简述
行云管家
05-28 246
在数字化快速发展的今天,网络安全已成为国家和企业不可或缺的防线。据统计,网络攻击事件频发,给全球经济带来了巨大损失。因此,确保网络安全行为可控显得尤为重要。今天我们来聊聊网络安全行为可控定义以及表现内容。
四、通信和网络安全—局域网|广域网|远程连接和攻击技术(CISSP)
最新发布
afei001
05-28 333
四、通信和网络安全—局域网|广域网|远程连接和攻击技术(CISSP)
<网络安全VIP>第一篇《工业互联网安全
Else 的博客
05-28 437
工业互联网的网络是基础,平台是核心,安全是保障。信息化会提高工业化的生产效率,但信息化本身具备两面性。一方面它可以让信息交互更加顺畅,共享更加快捷;但另一方面是带来相应的安全威胁。
信息安全法规和标准
m0_62207482的博客
05-28 741
自行建设韵味的政府网站不放在境外;39、据《计算机场地安全要求(GB/T9361-2011)》,计算机机房的安全等级分为 A:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害的对计算机机房的安全有严格的要求,有完善的计算机器机房安全措施 B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施 C级: 不属于A、B级的情况,对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。
CTF网络安全大赛简单web题目:eval
Pythonit教程网
05-17 1154
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
护网2024-攻防对抗解决方案思路
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
05-28 708
近年来,网络安全已被国家上升为国家安全的战略层面,网络安全同样也被视为维护企业业务持续性的关键。国家在网络安全治理方面不断出台法规与制度,并实施了一些大型项目和计划,如网络安全法、等级保护、网络安全宣传周以及护网行动等,显示出了网络安全在如今的环境下有着至关重要的作用。简单地说,护网行动是一场网络安全的攻防演练。护网行动是由公安部带领的,每次举行2-4周,一年举行一次,是一种针对全国范围内真实的网络目标的实战攻防活动。
awvs web安全现状
12-19
关于web安全的现状,目前网络安全形势严峻,各种网络攻击和漏洞不断涌现。随着互联网的普及和应用的广泛,网站和应用程序的安全性变得尤为重要。黑客和攻击者利用各种手段和技术来窃取用户信息、破坏网站功能、传播...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值