跨站脚本攻击和跨站请求伪造的解决思路
跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击Web网站的方法。攻击者可以在网页上发布包含攻击性代码的数据,当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息以及造成其它类型的攻击,例如:CSRF攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
跨站脚本攻击的解决思路
预防XSS攻击的基本方法是:确保任何被输出到HTML页面中的数据以HTML的方式进行转义(HTML escape)。例如PHP输出:
PHP Code复制内容到剪贴板
如果这个articleText是由用户自行输入的,那么攻击者很有可能输入一段包含javascript恶意攻击代码的文本,使得最终输出变成:
PHP Code复制内容到剪贴板
上述代码,在浏览器中渲染,将会执行JavaScript代码并在屏幕上alert hello。当然这个代码是无害的,但攻击者完全可以创建一个JavaScript来修改用户资料或者窃取cookie数据。
解决方法很简单,就是将输出的值的值进行html escape,转义后的输出代码如下
PHP Code复制内容到剪贴板
这样就不会有任何危害了。
XSS危害
XSS其实是一门小众但是热门的攻击技术,之所以小众,是由于费时间、很难成功、攻击无法自动化和需要扎实的htmljs功底,但是由于漏洞存在广泛,即使是大型互联网公司的站点也很容易由于疏忽存在此漏洞,这就是最大的热门。
其实无论是哪一种xss攻击手段,其原理都是使用了“xss就是在页面执行你想要的js”,也就是说,只要遵循一个原则——后端永远不信任前端输入的任何信息,无论是输入还是输出,都对其进行html字符的转义,那么漏洞就基本不存在了。
跨站请求伪造攻击(CSRF)
跨站请求伪造(CSRF,Cross-site request forgery)是另一种常见的攻击。攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据或执行特定任务的目的。
通常情况下CSRF攻击都配合XSS来实现用户身份的模仿。
解决思路
1、增加攻击的难度。GET请求是很容易创建的,用户点击一个链接就可以发起GET类型的请求,而POST请求相对比较难,攻击者往往需要借助JavaScript才能实现;因此,确保form表单或者服务端接口只接受POST类型的提交请求,可以增加系统的安全性。
2、对请求进行认证,确保该请求确实是用户本人填写表单或者发起请求并提交的,而不是第三者伪造的。
正常情况下一个用户提交表单的步骤如下:
1)、用户点击链接(1) -> 网站显示表单(2) -> 用户填写信息并提交(3) ->网站接受用户的数据并保存(4)
而一个CSRF攻击则不会走这条路线,而是直接伪造第2步用户提交信息
2)、直接跳到第2步(1) -> 伪造要修改的信息并提交(2) ->网站接受攻击者修改参数数据并保存(3)
只要能够区分这两种情况,就能够预防CSRF攻击。那么如何区分呢? 就是对第2步所提交的信息进行验证,确保数据源自第一步的表单。具体的验证过程如下:
3)、用户点击链接(1) -> 网站显示表单,表单中包含特殊的token同时把token保存在session中(2) -> 用户填写信息并提交,同时发回token信息到服务端(3) ->网站比对用户发回的token和session中的token,应该一致,则接受数据,并保存
这样,如果攻击者伪造要修改的信息并提交,是没办法直接访问到session的,所以也没办法拿到实际的token值;请求发送到服务端,服务端进行token校验的时候,发现不一致,则直接拒绝此次请求。
玩传世游戏时木马盗号 木马盗号怎么预防?
玩传世已经有一段时间了,以前对木马盗号之类的事情总是听的很多,但是从来没有碰到过,自从玩了传世开始,让小弟我着实领教了一次什么叫木马盗号,那个厉害阿。以至于现在上网都怕怕,怕中招。好废话不说,来分析一下木
详情2018-01-10 17:54:09责编:llp 来源:驱动管家dreamweaver教程 dreamweaver是怎么挖掘脚本漏洞的?
今天在站长站上闲逛时看到了冠龙的这套程序,想想自己刚注意到这套程序的时候还是看手册上刚刚提出Cookie注入的概念,可以说这套程序对我当初学习Cookie注入帮助也是很大的,而且前一段时间还爆出了跨站漏洞,不
详情2018-01-19 12:30:31责编:llp 来源:驱动管家黑客入门 黑客攻击网站的常用策略
这篇文章主要介绍了黑客攻击网站的常用策略,你必须掌握!,需要的朋友可以参考下【1】虚假无线接入(WAP)策略虚假WAP比其他任何技术都更容易完成攻击。任何人,简单用一种软件或无线网卡,就能将自己的电脑渲染
详情2018-01-20 14:46:56责编:llp 来源:驱动管家黑客怎么入侵个人电脑?怎么发现黑客入侵个人电脑?
大家好,我是StevenAngell,现在攻击个人电脑的木马软件很多,功能比以前多了,使用也比以前方便多了,所以危害也比以前大了,奇奇发现很多人中了木马自己还不知道,我就写了一点心得,给大家作个参考。 要想使
详情2018-01-26 16:44:28责编:llp 来源:驱动管家渗透黑客培训机构网站 入侵学黑客培训基地的步骤
最近在网上老是看到有人说被一个网址为“http: www xuehk com”的黑客培训机构骗了钱,而且骗取的金额数目可不少。于是,抱着为民除 害的心态,准备对这个所谓的黑客培训机构进行一次渗透。在网上搜索了一些关
详情2018-02-23 20:21:15责编:llp 来源:驱动管家什么是cisco路由器?cisco路由器配置的教程
思科路由器配置过程还是比较复杂的,需要考虑的因素很多,特别在安全方面。其实没必要把路由器想的那么复杂,其实路由器就是一个具有多个端口的计算机,只不过它在网络中起到的作用与一般的PC不同而已。如何才能
详情2018-01-15 10:30:28责编:llp 来源:驱动管家怎么通过序列号加密软件?序列号加密程序是什么?
数学算法一项都是密码加密的核心,但在一般的软件加密中,它似乎并不太为人们关心,因为大多数时候软件加密本身实现的都是一种编程的技巧。但近几年来随着序列号加密程序的普及,数学算法在软件加密中的比重似乎
详情2018-01-21 21:11:33责编:llp 来源:驱动管家验证码无法显示怎么办?验证码无法显示的解决方法
晚上检测一个站的时候,猜解出了密码,扫出了后台,可验证码就是无法显示,难道管理员故意弄的?不太可能吧?于是上网一搜,没想到还真找到了解决的方法。我的是Vista Ultimate,部分XP SP2也会有这个问题。好
详情2018-01-02 16:13:09责编:llp 来源:驱动管家mssql数据库,权限是sa,加上后台有上传文件就能得到webshell
想必大家都知道MSSQL中SA权限是什么,可以说是至高无上。今天我就它的危害再谈点儿,我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件,否则得到Shell是有难度的。1.存在SQL注入,并且数据库类型
详情2018-01-20 09:31:03责编:llp 来源:驱动管家dns欺骗是什么?dns欺骗有什么条件和限制?
定义: DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“
详情2018-01-02 16:11:39责编:llp 来源:驱动管家
- 更新驱动程序失败是什么原因?如何解决驱动更新失败问题
- 有哪些比较好的bt下载软件推荐?bt下载软件怎么选?
- 3389肉鸡快捷键怎么用?3389肉鸡快捷键汇总
- 佳能镜头哪款最好?佳能镜头推荐
- 网通为什么要封路由器?网通封路由器了怎么办?
- 大神x7如何设置网络模式?大神x7设置网络模式的步骤
- 酷派大神f2全网通怎么样?酷派大神f2全网通的性能如何?
- 安卓手机的mac地址在哪儿查看?查看手机本机MAC地址的方法
- 什么是死循环?帮你弄懂死循环的含义
- 驱动程序签名是什么?驱动程序数字签名有哪些用处
- AI技术或将改变农业领域 人们吃饱的同时更能吃好
- 买酷派酷玩6还是小米6?这两部手机有什么区别?
- excel自动换行功能怎么用?excel自动换行怎么操作?
- cain还原加密密码?cain如何还原flashfxp密文?
- IE浏览器总是提示“当前页面的脚本发生错误”是怎么回事?如何解决
- 小米手机如何省电?这里有七种方法可以省电
- 酷派大神note跑分是多少?酷派大神note性能评价如何?
- mp3格式的文件为什么图标显示异常?mp3格式图标异常解决办法
- ewebeditor编辑器漏洞分为哪些方面?怎么利用ewebeditor编辑器漏洞?
- 酷派5951值得买吗?买酷派5951还是红米1s?