WEB安全,也可以叫做web应用安全。互联网本来是安全,自从有了研究安全的人之后,互联网就变得不安全了。
WEB安全的本质是信任问题
1、由于信任,正常处理用户恶意的输入导致问题的产生
2、非预期的输入
3、安全是木桶原理,短的那块板决定的木桶究竟能装多少水,同样的,假设吧99%的问题都处理了,那么1%的遗留就会是造成安全问题的那块短板
web安全 研究web安全
二进制安全 研究如客户端安全等
session与cookie的区别
1、cookie的数据保存在客户端浏览器,session保存在服务器
2、服务器端保存状态机制需要在客户端做标记,所以session可能借助cookie机制
3、cookie通常用于客户端保存用户的登录状态
浏览器解析顺序:HTML Parser>>CSS Parser>>JavaScript Parser
浏览器解码顺序:HTML Decoding>>URL Decoding>>JavaScript Decoding
同源策略:规定不同域的客户端脚步在没明确授权的情况下,不能读写对方的资源
同域与不同域
与www.test.com同域情况
https://www.test.com 不同域 协议不同,HTTP与HTTPS为不同协议
http://fooying.test.com 不同域 域名不同,www与fooying为不同的子域
http://test.com 不同域 域名不同,顶级域与www为不同子域
http://www.test.com:81 不同域 端口不同,81与默认的80为不同端口
http://www.test.com/fooying 同域 只是多了目录,符号协议、域名、端口相同
沙盒框架(Sandboxed frame)
是对常规<iframe>表现行为的扩展,它能人顶级页面对其嵌入的子页面及这些子页面的子资源设置一些额外的限制。
通过设置<iframe>的参数实现限制
Flash安全沙箱
分为本地沙箱与远程沙箱
类似同源策略,在同一域内的资源会被放到一个安全组下,称为安全沙箱
web站点通过crossdomain.xml文件配置可以提供允许的域跨域访问本域上内容的权限(放置于站点根目录)
内容安全策略
通过编码在HTTP响应头中的指令来实施策略
XSS,全称跨站脚本攻击(Cross Site Scripting),一种注入式攻击方式。
成因:
1、对于用户的输入没有严格控制而直接输出到页面
2、对非预期输入的信任
危害:
1、盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号
2、盗取数据
3、非法转账
4、挂马
.....
PoC 验证程序,无害
Exp 利用程序,有害
Payload 利用程序,并且产生效果
分类:
1、存储型(持久型) 经过数据存储然后读取后展示在页面上
2、反射型(非持久型) 内容直接读取并且反射展示在页面上
3、DOM型 其实DOM型也属于反射型的一种,不过比较特殊,所以一般也当做一种单独类
其他XSS类别:
mXSS(突变型XSS)
UXSS(通用型XSS)
Flash XSS
UTF-7 XSS
MHTML XSS MHTML是聚合超文本标记语言
CSS XSS
VBScript XSS
XSS盲打平台
XSS盲打平台是只攻击者对数据提交后展现的后台未知情况下的一种XSS攻击方式
XSS蠕虫
原理:
利用XSS实现某些操作,比如微博关注用户
实现某些操作的同时,触发蠕虫代码复制和传播
CSRF ,全称跨站伪造请求(Cross-site request forgery),也称为one click attack/session riding,还可以缩写为SXRF
通俗的说就是利用被害者的身份去发送请求!
浏览器的Cookie保存机制:
Session Cookie,浏览器不关闭则不失效
本地Cookie,过期时间内不管浏览器关闭与否均不失效
CSRF与XSS的区别:
XSS:利用对用户输入的不严谨然后执行JS语句
CSRF:通过伪造受信任用户发送请求
CSRF可以通过XSS来实现
常见攻击方式:
1、HTML CSRF
通过HTML元素发起CSRF请求
2、JSON HiJacking
构造自定义的回调函数
3、Flash CSRF
通过Flash来实现跨域请求
防御方法:
1、通过验证码进行防御
2、检查请求来源
3、增加请求参数 token
WEB安全的本质是信任问题
1、由于信任,正常处理用户恶意的输入导致问题的产生
2、非预期的输入
3、安全是木桶原理,短的那块板决定的木桶究竟能装多少水,同样的,假设吧99%的问题都处理了,那么1%的遗留就会是造成安全问题的那块短板
web安全 研究web安全
二进制安全 研究如客户端安全等
session与cookie的区别
1、cookie的数据保存在客户端浏览器,session保存在服务器
2、服务器端保存状态机制需要在客户端做标记,所以session可能借助cookie机制
3、cookie通常用于客户端保存用户的登录状态
浏览器解析顺序:HTML Parser>>CSS Parser>>JavaScript Parser
浏览器解码顺序:HTML Decoding>>URL Decoding>>JavaScript Decoding
同源策略:规定不同域的客户端脚步在没明确授权的情况下,不能读写对方的资源
同域与不同域
与www.test.com同域情况
https://www.test.com 不同域 协议不同,HTTP与HTTPS为不同协议
http://fooying.test.com 不同域 域名不同,www与fooying为不同的子域
http://test.com 不同域 域名不同,顶级域与www为不同子域
http://www.test.com:81 不同域 端口不同,81与默认的80为不同端口
http://www.test.com/fooying 同域 只是多了目录,符号协议、域名、端口相同
沙盒框架(Sandboxed frame)
是对常规<iframe>表现行为的扩展,它能人顶级页面对其嵌入的子页面及这些子页面的子资源设置一些额外的限制。
通过设置<iframe>的参数实现限制
Flash安全沙箱
分为本地沙箱与远程沙箱
类似同源策略,在同一域内的资源会被放到一个安全组下,称为安全沙箱
web站点通过crossdomain.xml文件配置可以提供允许的域跨域访问本域上内容的权限(放置于站点根目录)
内容安全策略
通过编码在HTTP响应头中的指令来实施策略
XSS,全称跨站脚本攻击(Cross Site Scripting),一种注入式攻击方式。
成因:
1、对于用户的输入没有严格控制而直接输出到页面
2、对非预期输入的信任
危害:
1、盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号
2、盗取数据
3、非法转账
4、挂马
.....
PoC 验证程序,无害
Exp 利用程序,有害
Payload 利用程序,并且产生效果
分类:
1、存储型(持久型) 经过数据存储然后读取后展示在页面上
2、反射型(非持久型) 内容直接读取并且反射展示在页面上
3、DOM型 其实DOM型也属于反射型的一种,不过比较特殊,所以一般也当做一种单独类
其他XSS类别:
mXSS(突变型XSS)
UXSS(通用型XSS)
Flash XSS
UTF-7 XSS
MHTML XSS MHTML是聚合超文本标记语言
CSS XSS
VBScript XSS
XSS盲打平台
XSS盲打平台是只攻击者对数据提交后展现的后台未知情况下的一种XSS攻击方式
XSS蠕虫
原理:
利用XSS实现某些操作,比如微博关注用户
实现某些操作的同时,触发蠕虫代码复制和传播
CSRF ,全称跨站伪造请求(Cross-site request forgery),也称为one click attack/session riding,还可以缩写为SXRF
通俗的说就是利用被害者的身份去发送请求!
浏览器的Cookie保存机制:
Session Cookie,浏览器不关闭则不失效
本地Cookie,过期时间内不管浏览器关闭与否均不失效
CSRF与XSS的区别:
XSS:利用对用户输入的不严谨然后执行JS语句
CSRF:通过伪造受信任用户发送请求
CSRF可以通过XSS来实现
常见攻击方式:
1、HTML CSRF
通过HTML元素发起CSRF请求
2、JSON HiJacking
构造自定义的回调函数
3、Flash CSRF
通过Flash来实现跨域请求
防御方法:
1、通过验证码进行防御
2、检查请求来源
3、增加请求参数 token
279
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
