《白帽子讲web安全》读书笔记系列13:浏览器安全、XSS与CSRF攻击与防御

1、浏览器安全

1)同源策略:限制来自不同源的document或脚本,对当前document读取或设置某些属性。

影响源的因素:host、子域名、端口、协议

2)挂马:在网页中插入一段恶意代码,利用浏览器漏洞执行任意代码的攻击方式

沙箱:资源隔离类模块,让不可信任的代码运行在一定的环境中,限制其房屋隔离区之外的资源;

3)恶意网址拦截:黑名单拦截

 

2、跨站脚本攻击(XSS) Cross Site Script 本来为CSS,为与Cascading Style Sheet区别,故安全领域叫做XSS

XSS:客户端脚本安全的头号大敌,黑客通过“HTML注入”篡改页面,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。

反射型XSS:简单地把用户输入的数据“反射”给浏览器,非持久型XSS;

存储型XSS:把用户输入的数据“存储”在服务器,持久攻击。

DOM Based XSS:通过修改页面的DOM节点形成的XSS

XSS攻击成功后,攻击者能够对用户当前浏览器的页面植入恶意脚本,被称为XSS Payload

一个最常见的XSSPayload就是通过读取cookie,从而发起cookie劫持攻击。

强大的XSSPayload:

1)构造GET与POST请求

2)XSS钓鱼

3)识别用户浏览器

4)识别用户安装的软件

5)CSS History Hack 发现用户曾经访问过的网站

6)获取用户真实IP

 

XSS攻击平台:演示XSS危害,方便渗透测试

Attack API

BeEF

XSS-Proxy

 

终极武器:XSS Worm

一般而言,用户之间发生交互行为的页面,如果存在存储型XSS,则比较容易发生XSS Worm攻击。

 

2.1、XSS的防御

1)HttpOnly

严格地说,HttpOnly并非为对抗XSS,而是解决XSS后的cookie劫持攻击。

2)输入检查

同时在客户端javascript中和服务器端代码中实现相同的输入检查,客户端检查可以阻挡大部分误操作的正常用户,从而节约服务器资源。

3)输出检查

2.2、正确的防御XSS

XSS的本质是“HTML注入”,用户的数据被当成了HTML代码的一部分来执行,从而混淆了原本的语义,产生了新的语义。

以下从变量被填充入HTML代码中的不同场景,分析防御方法:

1)在HTML标签中输出 HtmlEncode

2)在HTML属性中输出 HtmlEncode

3)在<script>标签中输出 JavascriptEncode

4)在事件中输出 JavascriptEncode

5)在CSS中输出 encodeForCSS()

6)在地址中输出 如果变量是整改URL,则应该先检查变量是否以http开头(如果不是则自动添加),以保证不会出现伪协议类的XSS攻击,然后再对变量进行URLEncode。

7)处理富文本、防御DOM Based XSS 略。

 

3、跨站点请求伪造(CSRF) Cross Site Request Forgery

3.1 浏览器cookie分两种:

1)session cookie 临时cookie 保存在浏览器内存,浏览器关闭即失效

2)Third-party cookie 本地cookie 保存在本地,达到expire时间后失效

很多浏览器不会拦截Third-party cookie,如firefox、chrome等,这会利于CSRF攻击;

P3P头的副作用会导致原本拦截Third-party cookie的浏览器也不再拦截。

GET、POST均能构造CSRF攻击;

CSRF Worm,即使没有XSS,仅依靠CSRF,也可能发起大规模蠕虫攻击。

3.2 CSRF的防御

1)验证码

2)Referer Check

常见应用:防止图片盗链,也可用于检查请求是否来自合法的“源”;

缺陷:服务器并非什么时候都能取到referer

3)Anti CSRF Token

CSRF的本质:重要操作的所有参数都可以被攻击者猜测到;

初级解决方案:将URL中的参数值加密;缺点:URL难读、不利于被收藏和数据分析;

优化解决方案:保持URL中的参数不变,增加一个随机的、不可预测的token参数值;

token同时存在于表单和session,服务器验证其一致性,不一致则可能发生了CSRF攻击。

token应用原则:

a、足够随机

b、token不是为了防止重复提交,但可应用于防止表单提交;

c、如果token存于cookie,而不是服务端session,多个相同页面同时操作时,首次操作消耗掉token后,其他页面操作将报token错误;

d、注意token保密性,不要出现在URL中,否则会通过referer被获取,应尽量将之放到表单中,改GET为POST,以避免token泄露;

e、如果存在XSS或其他跨域漏洞,token将被泄露,形成XSRF攻击。

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GeoPandas是一个开源的Python库,旨在简化地理空间数据的处理和分析。它结合了Pandas和Shapely的能力,为Python用户提供了一个强大而灵活的工具来处理地理空间数据。以下是关于GeoPandas的详细介绍: 一、GeoPandas的基本概念 1. 定义 GeoPandas是建立在Pandas和Shapely之上的一个Python库,用于处理和分析地理空间数据。 它扩展了Pandas的DataFrame和Series数据结构,允许在其中存储和操作地理空间几何图形。 2. 核心数据结构 GeoDataFrame:GeoPandas的核心数据结构,是Pandas DataFrame的扩展。它包含一个或多个列,其中至少一列是几何列(geometry column),用于存储地理空间几何图形(如点、线、多边形等)。 GeoSeries:GeoPandas中的另一个重要数据结构,类似于Pandas的Series,但用于存储几何图形序列。 二、GeoPandas的功能特性 1. 读取和写入多种地理空间数据格式 GeoPandas支持读取和写入多种常见的地理空间数据格式,包括Shapefile、GeoJSON、PostGIS、KML等。这使得用户可以轻松地从各种数据源中加载地理空间数据,并将处理后的数据保存为所需的格式。 2. 地理空间几何图形的创建、编辑和分析 GeoPandas允许用户创建、编辑和分析地理空间几何图形,包括点、线、多边形等。它提供了丰富的空间操作函数,如缓冲区分析、交集、并集、差集等,使得用户可以方便地进行地理空间数据分析。 3. 数据可视化 GeoPandas内置了数据可视化功能,可以绘制地理空间数据的地图。用户可以使用matplotlib等库来进一步定制地图的样式和布局。 4. 空间连接和空间索引 GeoPandas支持空间连接操作,可以将两个GeoDataFrame按照空间关系(如相交、包含等)进行连接。此外,它还支持空间索引,可以提高地理空间数据查询的效率。
SQLAlchemy 是一个 SQL 工具包和对象关系映射(ORM)库,用于 Python 编程语言。它提供了一个高级的 SQL 工具和对象关系映射工具,允许开发者以 Python 类和对象的形式操作数据库,而无需编写大量的 SQL 语句。SQLAlchemy 建立在 DBAPI 之上,支持多种数据库后端,如 SQLite, MySQL, PostgreSQL 等。 SQLAlchemy 的核心功能: 对象关系映射(ORM): SQLAlchemy 允许开发者使用 Python 类来表示数据库表,使用类的实例表示表中的行。 开发者可以定义类之间的关系(如一对多、多对多),SQLAlchemy 会自动处理这些关系在数据库中的映射。 通过 ORM,开发者可以像操作 Python 对象一样操作数据库,这大大简化了数据库操作的复杂性。 表达式语言: SQLAlchemy 提供了一个丰富的 SQL 表达式语言,允许开发者以 Python 表达式的方式编写复杂的 SQL 查询。 表达式语言提供了对 SQL 语句的灵活控制,同时保持了代码的可读性和可维护性。 数据库引擎和连接池: SQLAlchemy 支持多种数据库后端,并且为每种后端提供了对应的数据库引擎。 它还提供了连接池管理功能,以优化数据库连接的创建、使用和释放。 会话管理: SQLAlchemy 使用会话(Session)来管理对象的持久化状态。 会话提供了一个工作单元(unit of work)和身份映射(identity map)的概念,使得对象的状态管理和查询更加高效。 事件系统: SQLAlchemy 提供了一个事件系统,允许开发者在 ORM 的各个生命周期阶段插入自定义的钩子函数。 这使得开发者可以在对象加载、修改、删除等操作时执行额外的逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值