------------------------------華麗麗的讀書分割線-----------------------------
筆記:1. 同源策略(same origin policy)
瀏覽器的同源策略限制了來自不同源的「document」或指令碼,對當前「document」讀取或者設定某些屬性。
文章中有提到乙個ie8的css跨域漏洞,具體可以見
可是關於這個漏洞要怎麼被黑客利用起來,我表示很費解。(看了後面的大概了解了些,黑客可以通過執行指令碼獲取使用者的cookie資訊,然後再做一些非法操作)
2.瀏覽器沙箱
「掛馬」是指 在網頁中插入一段惡意**,利用瀏覽器漏洞執行任意**的攻擊方式。
sandbox的設計目的一般是為了讓不可信任的**執行在一定的環境中,限制不可信任的**訪問隔離區之外的資源。如果一定要跨域sandbox邊界產生資料交換,則只能通過指定的資料通道,比如經過封裝的api來完成,在這些api中會嚴格檢查請求的合法性。
3.惡意**攔截
ps:xss:cross site script-跨站指令碼攻擊
csrf: cross site requst forgery-跨站點請求偽造
------------------------------華麗麗的筆記分割線-----------------------------
對瀏覽器如何實現安全限制有了大致的了解,但是對於黑客如果通過存在的漏洞獲取使用者資訊和做壞事還比較迷茫······明天通過實際的操作來試一試。
讀書筆記《白帽子講web安全》
2016年3月24日 09 34 32 星期四 ddos攻擊 一種 隨機生成ip,去建立鏈結,由於http tcp握手協議原理,傳送應答報文時因為ip無效會導致等待重發,這種行為可以通過電腦硬體裝置攔截 清洗 二種 通過掛馬等手段控制別人電腦,使用有效ip去瘋狂訪問某乙個介面導致服務掛掉,這種行為要...
《白帽子講web安全》讀書筆記
第1章 安全世界觀 攻擊分兩種 exploit script 早期多攻擊系統和軟體,能快速獲得root許可權。smtp,ftp使用者多 web使用者少,且攻擊它只能獲得較低許可權 防火牆,acl 訪問控制列表 的興起,給暴露的系統施加了屏障 使得暴露在外的非web程式越來越少 web的興起 web攻...
《白帽子講Web安全》 學習筆記
最近加入新公司後,公司的官網突然被google標記為了不安全的詐騙 一時間我們資訊科技部門成為了眾矢之的,雖然老官網並不是我們開發的 因為開發老官網的前輩們全都跑路了 我們花了很多時間做web安全掃瞄以及修復,在檢查和修復過程中,發現老系統的 的不可維護性 再次說明整潔 之道clean code的重...