web网络安全知多少

最新推荐文章于 2024-07-18 17:50:20 发布
最新推荐文章于 2024-07-18 17:50:20 发布
阅读量1k 收藏 13
点赞数 7
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youbingchen/article/details/139242471
版权

在这里插入图片描述

web安全性包括: 客户端脚本安全和服务器端应用服务器

客户端脚本安全:
● 跨站脚本攻击(XSS )
● 跨站点请求伪造(CSRF)
● 点击劫持(ClickJacking)
● HTML 5 安全性
服务端应用安全:
● 注入攻击
● 文件上传漏洞
● 认证与会话管理
● 访问控制
● DDos攻击
个人意识和个人层面:
Xss 攻击
Cross Site script: Xss攻击是通过HTML网页篡改网页,插入恶意的脚本,从而在用护浏览网页,控制用户浏览器的一种攻击,Xss长期被列为Web客户端的头号大敌.
反射型XSS
反射型Xss只是简单把用户输入的数据“反射”给浏览器,也就是说,黑客往往需要诱使用户点击“恶意”的链接,有称为非持久的xss
存储型XSS
存储型Xss,黑客把恶意的脚本保存在服务器
DOM Based Xss
也是反射型的XSS,通过修改DOM节点形成XSS,称为DOM Based Xss

Xss攻击进阶
Xss payload
Xss 攻击成功之后,对用户当前浏览的页面植入恶意脚本,控制用户的浏览器,称为Xss payload,常见的Xss payload,是Cookie劫持,可以通过设置“Httponly”标识并防止Cookie劫持,
解决思路

  1. Cookie httponly
  2. 输入检查, 互联网有很多Xss filter
  3. 输出检查, 在变量输出到HTML时候,可以使用编码或者转义,比如HtmlEncode JavascriptEncode
  4. 富文本尽量不让用户自定义Css,如果支持的话,用Css parser对样式进行智能解析.
  5. Dom Based Xss是从javascript输出数据到HTML页面,上面所有的方法是从服务器直接输出到HTML,这块目前还没有效的解决,

跨站点请求伪造(CSRF)

浏览器的cookie

● SessionCookie(又名为临时Cookie)
● Third-party cookie
两者的区别是在于 Third-party cookie是服务器在set-cookie时指定了Expire时间,只有到了expire时间后的cookie才会失效,所以这种cookie会保存在本地,而session-cookie则没有指定expire时间,所以浏览器关闭之后,就失效了.一般而言浏览器会禁止

Web安全是一个很大的领域,可参考《白帽子讲Web安全》

1、XSS 跨站脚本攻击
○ 类型
■ 反射型
■ 存储型
■ 基于 DOM 的攻击
○ 解决方案有:
■ 服务端
● 输入时,过滤数据、使用编码
● 设置 cookie 为 httpOnly
■ 前端
● 输入时,过滤数据、使用编码
● 输出时,过滤数据

2、CSRF 跨站请求伪造
○ 原理:利用客户端用户的登录态进行的第三方请求攻击
○ 解决方案有:
■ referrer
■ 验证码
■ token
■ cookie 新增属性 SameSite

3、iframe 的风险
○ 防御:使用 iframe 的属性 sandbox 限制 iframe 的行为

4、点击劫持
○ 原理:利用网站视觉欺骗,将原有网页的功能或操作通过其他形式覆盖,当用户点击时,从而发起攻击
○ 防御:
■ iframe 覆盖攻击:使用 X-Frame-Options HTTP 响应头标记该页面不能被 iframe 嵌入,从而避免该点击劫持的可能性
■ 图片覆盖攻击:考虑是否存在xss、检查用户提交的img标签是否style属性浮出

5、错误的内容推断
○ 浏览器会根据返回的内容自行推断文件的类型,从而以相应的类型执行文件,如 .js 文件就发起执行 js 脚本。
○ 防御:设置 HTTP 头的属性 X-Content-Options: nosniff ,设置后浏览器不再推断类型,而是根据 Content-Type 的值去处理。

6、不安全的第三方依赖包
○ 通常项目开发中,不可避免的会使用到第三方依赖包,这时第三方依赖包就有可能存在安全漏洞。
○ 防御:
■ 使用一些检测工具检查第三方依赖包等

7、响应拦截
○ 通常用户访问某个网站,是从域名开始输入,访问某网站时,是通过 http 请求发起的,然后再重定向https请求,这给了攻击者机会,在 http 访问时便被拦截。
○ 防御:
■ 输入网站时,带上协议:https
■ 响应头上带上 Strict-Transport-Security 告诉浏览器以后访问该网址时自动把 http 转换成 https
■ 不使用不信任的热点访问需要关注安全的网站

8、本地存储数据泄露
○ 防御:尽可能不在前端存储敏感、机密的信息

9、静态资源完整性
○ 通常静态资源如 脚本文件 和 样式文件存在 CDN,若 CDN 被劫持修改了资源,那么就会造成被攻击。
○ 防御:使用浏览器端的 script 和 link 标签的属性 integrity 表示文件的 base64编码的哈希值和实际的文件哈希值比较是否未被修改。

程序猿阿三
关注
  • 7
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
平台网络安全能力知多少
AIGC大前端小王子
04-18 5155
本文主要介绍软件开发中的平台安全能力。主要涉及内部系统能力、数据加密服务、HTTPS证书服务、数字签名服务、WEB应用防护、发布内容监测等。
计算机网络——网络安全
热门推荐
eyes++的博客
06-06 1万+
ISO提出信息安全的定义是:为数据处理系统建立和采取的技术及管理保护,保护计算机硬件、软件、数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。我国定义信息安全为:计算机信息系统的安全保护,应当保障计算机及其相关的配套设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统安全运行。网络安全是指利用计算机网络管理控制和技术措施,保证网络系统及数据的保密性、完整性、网络服务可用性和可审查性受到保护。狭义上,网络安全是指计算机及其网络系统资源和信息资源不受有害因素的
网络安全复习
永远相信美好的事情即将发生
06-24 3336
防火墙是位于多个网络之间,通过执行访问控制策略保护网络安全的系统。 防火墙的主要功能有:建立一个集中的监视点、隔绝内外网络,保护内部网络、强化网络安全策略、有效记录和审计内外网络之间的活动。 防火墙可以与入侵检测系统互动,可在线升级,划分不同安全级别的区域,可实时警告等。不可以防范不经过防火墙的攻击,不能防止利用服务器系统漏洞进行的攻击,不能防止本身的安全漏洞威胁等。
CCNA 网络安全答案汇总
GodLou的博客
06-02 6379
目录 CCNA Cybersecurity Operations (版本 1.0) - CyberOps 第 1 章考试CCNA Cybersecurity Operations (版本 1.0) - CyberOps 第 2 章考试CCNA Cybersecurity Operations (版本 1.0) - CyberOps 第 3 章考试CCNA Cybersecurity Operations (版本 1.0) - CyberOps 第 4 章考试CCNA Cybersecurity Operat
网络安全应急响应事件一
千寻的博客
03-16 4213
简述网络安全事件的应急响应过程。
白帽子讲Web安全高清完整PDF版
07-03
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
白帽子讲web安全 azw3
03-02
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
Web安全攻防
06-30
无所不能的白帽子维护着网络安全,你是否也想成为他们的一员呢?那就开始努力学习吧! 考虑到部分新手朋友,我们在课程中加入了web相关的基础知识,帮助大家轻松入门。 本教程的特色在于理论和实践相结合,既避免...
网络安全】资产记录工具 Hacker Asset Logger 安装使用详细教程
等风来
07-15 162
在对某一应用程序的多个页面、对多个相关联的应用程序进行渗透测试的过程中,多个请求包的参数、功能之间可能存在一定的联系。例如,在A页面触发的请求包中,通过UID可获取CustomerID;在B页面触发的请求包中,CustomerID用于Cookie身份鉴定、获取用户敏感信息、获取用户订单号OrderNo;在C页面触发的请求包中,OrderNo用于获取对应用户的敏感信息,如姓名、电话、地址、身份证。
网络安全】基于PHP study的DVWA靶场搭建教程
等风来
07-14 477
接着访问:http://127.0.0.1/dvwa-master,拉到页面最下面点击Create/Reset Databse 跳转至该页面后,输入admin、password即可登录:
网络安全-网络安全及其防护措施8
LS_Ai的博客
07-17 1065
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
网络安全法律框架更新:最新合规要求与企业应对策略
2301_79955948的博客
07-14 939
首先,企业应提升网络安全意识,完善责任制度,并关注新法律法规的协调衔接。2022年,《网络安全法》迎来了首次修改,这一修订主要是为了与《数据安全法》和《个人信息保护法》等新实施的法律进行衔接协调,完善法律责任制度,进一步保障网络安全。新规定对原有的触发条件进行了优化,例如,关键信息基础设施运营者向境外提供个人信息或重要数据,以及特定数量的个人信息或敏感个人信息的跨境传输,都需要进行安全评估。通过上述措施,企业不仅能够提升自身的网络安全防护能力,还能促进国内网络安全产业的高质量发展,为国家网络安全贡献力量。
网络安全-网络安全及其防护措施1
LS_Ai的博客
07-14 1022
网络安全是指保护网络系统及其数据免受未经授权的访问、使用、修改或破坏的过程。它包括对硬件、软件、数据和通信的全面保护,确保系统的机密性、完整性和可用性。网络安全涉及一系列的策略、技术和流程,用于保护网络和数据免受攻击、损失或未经授权的访问。机密性:确保信息只被授权人员访问和查看。完整性:保证信息的准确和完整,防止未经授权的修改。可用性:确保系统和数据在需要时可被合法用户访问。
网络安全等级保护测评
weixin_45840241的博客
07-16 444
具体来说,等级保护定级是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方面的最重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施。通过等级保护测评服务,可以全面检测信息系统的安全性能,发现存在的安全问题和漏洞,及时采取措施进行修复和改进,确保系统具备较高的安全性,降低系统被各种攻击的风险。通过等级保护测评服务,可以帮助组织了解其信息系统的安全状况,提供相应的解决方案,优化安全管理,提高信息安全防护能力。
黑客自学手册(网络安全
dexi1113的博客
07-18 631
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!
网络安全相关竞赛比赛
最新发布
黑战士的博客
07-18 373
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
网络安全 DVWA通关指南 DVWA Brute Force (爆破)
YueXuan_521的博客
07-15 763
网络安全 DVWA通关指南 DVWA Brute Force ( DVWA Brute Force (爆破) 文章目录 DVWA Brute Force (爆破) Low Medium High Impossible遍历,只是一个选字典1,一个选字典2(相当于50m赛跑同时出发,只是赛道不同,互不干扰。2、密码验证方面,增加验证失败睡眠两秒的限制,这会加大爆破所需要的时间。但只要时间充足,爆破出密码不是问题。使用字典进行爆破,字典可以自己制作,也可以网上直接下载,等待片刻爆破完成,使用爆破出的密码就能登录。
WEB安全焦点:SQL漏洞分析与移动APP风险
在当前的信息化时代,SQL漏洞已经成为网络安全领域的重要关注点,特别是在开发和运维过程中。"乌云上的反应的SQL漏洞现状"这一主题揭示了SQL注入攻击在实际环境中的普遍性和危害性。乌云作为一个公开的安全漏洞报告...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序猿阿三

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值