xss 攻擊是指瀏覽器中執行惡意指令碼, 然後拿到使用者的資訊進行操作。
竊取 cookie。
監聽使用者行為,比如輸入賬號密碼後直接傳送到黑客伺服器。
修改 dom 偽造登入表單。
在頁面中生成浮窗廣告
主要分為儲存型、反射型和文件型。
防範的措施包括:
兩個利用: 利用 csp,利用 cookie 的 httponly 屬性。
csrf 攻擊一般會有三種方式:
防範措施:
驗證**站點
csrf token
通常情況下,csrf 攻擊是攻擊者借助受害者的 cookie 騙取伺服器的信任,在受害者毫不知情的情況下以受害者名義偽造請求傳送給受攻擊伺服器,從而在並未授權的情況下執行在許可權保護之下的操作。可以這麼理解 csrf 攻擊:攻擊者盜用了你的身份,以你的名義傳送惡意請求
受害者必須依次完成兩個步驟:
登入受信任** a,並在本地生成 cookie。
在不登出 a 的情況下,訪問危險** b。
csrf 特點
PHP安全防範
php 安全和xss,sql注入等對於各類 的安全非常中用,尤其是ugc user generated content 論壇和電子商務 常常是xss和sql注入的重災區。這裡簡單介紹一些基本程式設計要點,相對系統安全來說,php 安全防範更多要求程式設計人員對使用者輸入的各種引數能更細心.建議安裝s...
甲方安全防範
好了,言歸正傳了,沒錢還想搞安全,怎麼辦?用免費的代替唄。下面給大家說我的一下替代方案。為啥放首位了,因為這款漏掃沒什麼好介紹的,強烈推薦 直接部署在網路當中,路由可達即可。與收費漏掃相比較,掃瞄結果略有不同,都能掃到對方掃不到的。所以,還是一款值得推薦的免費漏掃。直接部署在網路當中,對客戶端路由可...
web層安全防範
1.銘記乙個基本原則 永遠也不要相信使用者的輸入!2.輸入檢測。是否驗證了它的 是否檢查了字段的長度?為空或者超長是否會產生問題?是否限制了字段的可用字符集?數值型 英文本母 可見字元 中文字元,etc是否含有對程式有特殊含義的字元?是否限制了字段的取值範圍 特別是數值型資料 是否限制了字段的格式?...