白話web安全

夢回大二，那時候沉迷於毒奶粉，甚至國慶都在宿舍與毒奶粉共同度過，但是卻發生了一件讓我迄今難忘的事情~

我新練的黑暗武士被盜了！！！乾乾淨淨！！！

雖然過了好久了，但是記憶猶新啊，彷彿發生在昨天。記得那時候還在屯材料，金色小晶體是什麼的。沒日沒夜的刷圖攢錢，倒買倒賣假粉，真紫。後來刷悲鳴的時候爆了一把蟲炮(一把**蠻高的手炮**)，把我激動的喲。

然後就掛到拍賣行了，不一會居然有人私信我，說他看中了，但是遊戲裡的金幣不夠，看他挺誠心的，就和他商量怎麼辦~

最終方案就是他讓我登入乙個**，然後輸入我的qq號、密碼。他會在那個**上給我轉錢。而且**要比拍賣行高，我一想，不虧！就去了，但是當我輸入賬號密碼後，我的遊戲被中斷了。等我馬不停蹄的登入賬號後，我的材料，**，金幣都沒了~~

不過如果你想保護好的你的賬號和隱私，對於網路安全還是有必要進行了解的。

煮個例子：

xx.com有一段指令碼會發往請求到qq.com，比如qq.com/some-action，這時候會攜帶之前被瀏覽器儲存身份資訊

qq.com收到了帶有身份資訊的請求，會正常處理

這時候的行為就不是我能控制的了，如果那個壞人利用我的身份資訊向qq.com傳送乙個轉義物品的請求，那我也沒辦法的。

上面的例子只是其中之一，還有各種各樣的攻擊方式，這裡簡單列舉下：

訪問乙個不安全位址，頁面包含自動傳送的get請求或post請求。

那我們怎麼避免csrf呢？

這就需要我們對症下藥，那有哪些明顯的症狀呢？

csrf發生在第三方**

csrf攻擊獲取不到cookie資訊，只是使用

那我們就可以開發出有療效的藥來治它。

阻止不被允許的第三方域發起請求

同源檢測 + samesite cookie

類似於簽名，要求附帶源域產出的一些私密資訊

csrf token + 雙重cookie驗證

人工驗證

更多詳見：

美團web安全-csrf

host、referrer、origin

什麼是xss

xss是是一種**注入攻擊，或者說是一種插入式指令碼攻擊，攻擊者利用對瀏覽器、伺服器、資料庫的理解，在**中插入各種可以和**相關執行**組合並可執行的指令碼，之後在執行的時候不僅會執行**本身的**，還會執行攻擊者插入的指令碼。

比如獲取url上的query進行搜尋的搜尋框，原來是這樣的：

如果攻擊者注入這樣的**：

">

拼接後就會變成這樣:

">

當瀏覽器執行的時候，就會彈框。

對於服務端或者資料庫同樣可以利用類似原理進行攻擊。

這樣攻擊者就可以獲取cookie、修改資料庫等惡意操作了，非常危險。

常見xss攻擊

先儲存到服務端，比如資料庫，然後吐給瀏覽器，瀏覽器執行的時候觸發

使用者點選的時候觸發，比如攻擊者構造出特殊的url位址，服務端解析後返回的時候就已經有惡意**了。

同上，不過是直接就到瀏覽器了，執行後產生攻擊。

相對於前兩種，dom型是瀏覽器觸發的，其他兩個是服務端觸發的。

藥瀏覽器和服務端進行適當的**轉義即可防範大部分xss攻擊，除此之外，還可以禁止一些不安全的操作，比如載入外域**，控制內容輸入長度，http-only(禁止js操作cookie)，驗證碼等.

還有csp - 內容安全策略

更多詳見：

美團web安全-xss

其實和xss攻擊中提及的資料庫部分是一樣的。

比如有這樣一段sql語句：

sql = "select * from users where name=" + name;

name是由使用者輸入之後生成的，這時候如果直接將name結果拼接：

select * from users where name='' or '1'='1';

這樣不僅執行了原本的sql，還執行了攻擊者的**。

解決方法同上。

說白了就是過載，玩過爐石應該能具象出一副過載的畫面吧~

你當前回合過載了，那你下回合就得休息休息。模擬服務端也是一樣的。如果處理的事務過多，後面的只能耐心等待(休息)。

藥我們可以限制ip的流量，有錢的話多整點服務也行，嘿嘿~

內容不多，但是盡量有用。

防盜煉

這篇就到這啦~

拜了個拜~

白話web安全

Web安全 Web通訊

安全測試，web安全

Web安全密碼安全

白話web安全

Web安全 Web通訊

安全測試，web安全

Web安全 密碼安全

相關推薦

Web安全密碼安全