白帽子讲Web安全(第 12 章 Web框架安全)

最新推荐文章于 2021-08-28 23:26:15 发布
最新推荐文章于 2021-08-28 23:26:15 发布
阅读量127 收藏
点赞数
分类专栏: 读书笔记 文章标签: 安全 java net web xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oschina_40326659/article/details/108086661
版权

第 12 章 Web框架安全

12.1 MVC 框架安全

12.2 模板引擎与 XSS 防御

在 View 层,可以解决 XSS 问题。XSS 攻击是在用户的浏览器上执行的,其形成过程则是在服务器端页面渲染时,注入了恶意的 HTML 代码导致的。从 MVC 架构来说,是发生在 View 层,因此使用“输出编码”的防御方法更加合理,这意味着需要针对不同上下文的 XSS 攻击场景,使用不同的编码方式。

“输出编码”的防御方法:

  • 在 HTML 标签中输出变量;
  • 在 HTML 属性中输出变量;
  • 在 script 标签中输出变量;
  • 在事件中输出变量;
  • 在 CSS 中输出变量;
  • 在 URL 中输出变量。

针对不同的情况,使用不同的编码函数。

12.3 Web 框架与 CSRF 防御

CSRF 攻击的目标,一般都会产生“写数据”操作的 URL ,比如“增”、“删”、“改”;而“读数据”操作并不是 CSRF 攻击的目标,因为在 CSRF 的攻击过程中攻击者无法获取到服务器端返回的数据,攻击者只是借用户之手触发服务器动作,所以读数据对于 CSRF 来说并无直接的意义。

在很多时候都要求使用 HTTP POST 进行防御,但实际上 POST 本身并不足以对抗 CSRF ,因为 POST 也是可以自动提交的。但是 POST 的使用,对于保护 token 有着积极的意义,而 security token 的私密性(不可预测性原则),是防御 CSRF 攻击的基础。

12.4 HTTP Headers 管理

12.5 数据持久层与 SQL 注入

使用 ORM ( Object/Relation Mapping )框架对 SQL 注入是有积极意义的。我们知道对抗 SQL 注入的最佳方式就是使用“预编译绑定变量”。在实际解决 SQL 注入时,还有一个难点就是应用复杂后,代码数量庞大,难以把可能存在 SQL 注入的地方不遗漏的找出来,而 ORM 框架为我们发现问题提供了一个便捷的途径。

sports-boy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
吴翰清:帽子Web安全
02-21
安全宝副总裁、前阿里巴巴集团高级安全专家吴翰清将携他的《帽子Web安全》一书做客问答栏目。以下为采访正文:吴翰清(刺哥/总,大风哥),安全宝副总裁,前阿里巴巴集团高级安全专家。毕业于西安交通大学少年班...
攻击JavaWeb应用[5]-MVC安全
weixin_33796177的博客
03-08 810
园长 · 2013/07/25 13:31注:这一节主要是消除很多人把JSP当作了JavaWeb的全部的误解,了解MVC及其框架思想。MVC是用于组织代码用一种业务逻辑和数据显示分离的方法,不管是Java的Struts2、SpringMVC还是PHP的ThinkPHP都爆出过高危的任意代码执行,本节重在让更多的人了解MVC和MVC框架安全,由浅到深尽可能的照顾没Java基础的朋友。所谓攻击Java...
WEB安全
多多说happy的博客
09-30 688
安全三要素全面认识一个安全问题,有很多方法,首先我们来理解安全问题的组成属性。安全属性的总结为安全三要素,简称CIA 机密性(Confidentiality) 数据内容不能泄露 手段:加密 完整性(Integrity) 数据内容是完整的, 没有被篡改 手段:数字签名 可用性(Avaliability) 服务应该随时可用 分布式拒绝攻击 例子: 假设一个停车场里面有100个车位,在正常的情况下
帽子web安全》学习笔记——web安全概述
a2562614613的博客
08-28 749
一、安全的三要素 1、机密性 机密性要求保护数据内容不被泄露,加密是实现机密性要求的常见方法,比如常见的对称加密算法和非堆成加密算法。 2、完整性 完整性要求保护数据内容是完整的,没有被篡改,常见的保证一致性的技术手段是数据签名。 3、可用性 可用性要求保护资源是“随需而得”。安全领域中,拒绝服务攻击破坏得就职安全的可用应。 安全领域中,除以上要素外,仍然存在一些其他要素,比如不可抵赖性、可审计性,但最重要的要素便是以上三个。在...
web安全相关概念
Shock_的博客
04-09 1028
大家学习时,应该都听过sql注入,上传,xss攻击,csrf,一句话木马等,写这个也是为了让我更好的去学习,现在的还是个小,当个笔记来写的;刚开始应该熟悉一些关键词就上面说的,我对csrf是挺陌生的,于是就先查了查cstf; CSRF:(Cross-site request forgery)跨站请求伪造,听着和xss差不多,但我在百度中查到的是他们两个是不同的;
Web安全笔记
naiba01的博客
02-21 926
  最近读了吴翰清的《帽子Web安全》,学到了不少东西。现把书中的知识点梳理一遍,以便记忆。以下内容是我根据《帽子Web安全》和自己的理解整理的,如有不够清晰或误导的地方,可以查看原书。   随着网页技术的飞速发展,越来越多的黑客把攻击的目光投向网页。因而,Web安全也愈发显得重要。   评判一个网页是否安全,可以分析网站是否具有具备安全三要素:机密性(Confidentiality)...
帽子Web安全
01-16
帽子Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《帽子Web安全》将带你走进Web安全的世界,让你了解Web安全...
帽子Web安全高清完整PDF版
07-03
帽子Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《帽子Web安全》将带你走进Web安全的世界,让你了解Web安全...
帽子Web安全》.pdf
12-11
帽子Web安全》.pdf 作者:吴翰清 电子工业出版社
帽子Web安全【高清】.pdf
07-24
帽子web安全 道哥原书pdf 安全入门
帽子Web安全(第 1 章 我的安全世界观)
sports-boy的博客
07-27 1739
第 1 章 我的安全世界观 互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了。 1.1 Web安全简史 研究计算机系统和网络的人,被称为“ Hacker ”,他们对计算机系统有着深入的理解,因此往往能够发现其中的问题。“ Hacker ”在中国按照音译,被称为“黑客”。在计算机安全领域,黑客是一群破坏规则、不喜欢拘束的人,因此总想着能够找到系统的漏洞,以获得一些规则之外的权力。 对于现代计算机系统来说,在用户态的最高权限是 root ( administrator ),也是黑客们最渴望能够
帽子Web安全(第 17 章 安全开发流程( SDL ))
sports-boy的博客
08-30 1092
第 17 章 安全开发流程( SDL ) 安全开发流程,能够帮助企业以最小的成本提高产品的安全性。它符合“ Secure at the Source ”的战略思想。实施好安全开发流程,对企业安全的发展来说,可以起到事半功倍的效果。 17.1 SDL 简介 SDL 的全称是 Secureity Development Lifecycle ,即:安全开发生命周期。它是由微软最早提出的,在软件工程中实施,是帮助解决软件安全问题的办法。SDL 是一个安全保证的过程,其重点是 软件开发,它在开发的所有阶段都引入了安全
帽子Web安全(第 3 章 跨站脚本攻击( XSS ))
sports-boy的博客
08-05 549
第 3 章 跨站脚本攻击( XSS ) 3.1 XSS 简介 跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是 CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS )有所区别,所以在安全领域叫做“XSS”。 XSS 攻击,通常指黑客通过“ HTML 注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站脚本”。 针对各种不同场景长生的XSS,需要区分情景对待。 XSS 根
帽子Web安全(第 11 章 加密算法与随机数)
sports-boy的博客
08-18 461
第 11 章 加密算法与随机数 加密算法与伪随机数算法是开发中经常会用到的东西,但加密算法的专业性非常强,在 Web 开发中,如果对加密算法和伪随机数算法缺乏一定的了解,则很可能会错误的使用它们,最终导致应用出现安全问题。 11.1 概述 密码学有着悠久的历史,它满足了人们对安全的最基本需求----保密性。密码学可以说是安全领域发展的基础。 常见的加密算法通常分为 分组加密算法 与 流密码加密算法 两种,两者的实现原理不同。 分组加密算法基于“分组”( block )进行操作,根据算法的不同,每个分组的长
帽子Web安全(重点摘录)
sports-boy的博客
07-27 329
书名:帽子Web安全 作者:吴翰清 出版社:电子工业出版社 阅读进度: 重点摘录: 第 1 章 我的安全世界观 第 2 章 浏览器安全 第 3 章 跨站脚本攻击( XSS ) 第 4 章 跨站点请求伪造( CSRF ) 第 5 章 点击劫持(ClickJacking) 第 6 章 HTML 5 安全 第 7 章 注入攻击 第 8 章 文件上传漏洞 第 9 章 认证与会话管理 第 10 章 访问控制 第 11 章 加密算法与随机数 第 12 章 Web 框架安全 第 13 章 应用层拒绝服务攻击 第
帽子Web安全(第 13 章 应用层拒绝服务攻击)
sports-boy的博客
08-20 286
第 13 章 应用层拒绝服务攻击 13.1 DDOS 简介 DDOS 又称为分布式拒绝服务,全称是 Distributed Denial of Service 。 DDOS 本是利用合理的请求造成资源过载,导致服务不可用。 分布式拒绝服务攻击,将正常请求放大了若干倍,通过若干个网络节点同时发起攻击,以达成规模效应。这些网络节点往往是黑客们所控制的“肉鸡”,数量达到一定规模后,就形成了一个“僵尸网络”。大型的僵尸网络,甚至达到了数万、数十万台的规模。如此规模的僵尸网络发起的 DDOS 攻击,几乎是不可阻挡的。
帽子Web安全(第 7 章 注入攻击)
sports-boy的博客
08-09 272
第 7 章 注入攻击 注入攻击是 Web 安全领域中一种最为常见的攻击方式。 安全设计原则----“数据与代码分离”原则,它可以说是专门为了解决注入攻击而生的。 注入攻击的本质,是把用户输入的数据当作代码执行。这里有两个关键条件: 用户能够控制输入 原本程序要执行的代码,拼接了用户输入的数据。 7.1 SQL注入 在 SQL 注入的过程中,如果网站的 Web 服务器开启了错误回显,则会为攻击者提供极大的便利,比如攻击者在参数中输入一个单引号“ ' ”,引起执行查询语句的语法错误,服务器直接返回了错误信息
帽子Web安全(第 5 章 点击劫持( ClickJacking ))
sports-boy的博客
08-07 256
第 5 章 点击劫持( ClickJacking ) 2008 年,安全专家 Robert Hansen 与 Jeremiah Grossman 发现了一种被他们称为“ ClickJacking ”(点击劫持)的攻击,这种攻击方式影响了几乎所有的桌面平台,包括 IE、Safari、Firefox、Opera 以及 Adobe Flash。两位发现者准备在当年的 OWASP 安全大会上公布并进行演示,但包括 Adobe 在内的所有厂商,都要求在漏洞修补前不要公开此问题。 5.1 什么是点击劫持 点击劫持是一种
帽子Web安全(第 9 章 认证与会话管理)
sports-boy的博客
08-10 242
第 9 章 认证与会话管理 “认证”是最容易理解的一种安全。如果一个系统缺乏认证手段,明眼人都能看出来这是“不安全”的。最常见的认证方式就是用户名与密码,但认证的手段却远远不止于此。 9.1 Who am I ? 很多时候,人们会把“认证”和“授权”两个概念搞混,甚至有些安全工程师也是如此。实际上“认证”和“授权”是两件事情,认证的英文是 Authentication ,授权则是 Authorization 。分清楚这两个概念其实很简单,只需要记住下面这个事实: 认证的目的是为了认出用户是谁,而授权的母的是
帽子web安全下载
最新发布
07-23
帽子Web安全下载是指他们通过分享自己的经验和知识,为广大用户提供一些有关Web安全方面的学习资料的过程。 在当前互联网环境下,网络安全问题日益突出,黑客攻击、数据泄露等威胁层出不穷。帽子作为互联网...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值