标签:怎么 token alt 产生 利用 否则 官方网站 完全 其他
梦回大二,那时候沉迷于毒奶粉,甚至国庆都在宿舍与毒奶粉共同度过,但是却发生了一件让我迄今难忘的事情~
我新练的黑暗武士被盗了!!!干干净净!!!
虽然过了好久了,但是记忆犹新啊,仿佛发生在昨天。记得那时候还在屯材料,金色小晶体是什么的。没日没夜的刷图攒钱,倒买倒卖假粉,真紫。后来刷悲鸣的时候爆了一把虫炮(一把价格蛮高的手炮武器),把我激动的哟。
然后就挂到拍卖行了,不一会居然有人私信我,说他看中了,但是游戏里的金币不够,看他挺诚心的,就和他商量怎么办~
最终方案就是他让我登录一个网站,然后输入我的qq号、密码。他会在那个网站上给我转钱。而且价格要比拍卖行高,我一想,不亏!就去了,但是当我输入账号密码后,我的游戏被中断了。等我马不停蹄的登录账号后,我的材料,武器,金币都没了~~
虽然说这个事和网络安全关系不是很大,完全是因为自己啥都不懂,那个网站应该不是腾讯官方的。相当于我把我的账号密码主动泄漏给他人了~
不过如果你想保护好的你的账号和隐私,对于网络安全还是有必要进行了解的。
这就需要我们对症下药,那有哪些明显的症状呢?
那我们就可以开发出有疗效的药来治它。
阻止不被允许的第三方域发起请求
同源检测 + samesite cookie
类似于签名,要求附带源域产出的一些私密信息
csrf token + 双重cookie验证
人工验证
更多详见:
美团web安全-csrf
xss是是一种代码注入攻击,或者说是一种插入式脚本攻击,攻击者利用对浏览器、服务器、数据库的理解,在网站中插入各种可以和网站相关运行代码组合并可执行的脚本,之后在运行的时候不仅会执行网站本身的代码,还会执行攻击者插入的脚本。
比如获取url上的query进行搜索的搜索框,原来是这样的:
<input type=‘text‘ :value=‘searchWord‘>
如果攻击者注入这样的代码:
‘><script>alert(‘你被攻击了‘)</script>
拼接后就会变成这样:
<input type=‘text‘ :value=‘‘><script>alert(‘你被攻击了‘)</script>‘>
当浏览器执行的时候,就会弹框。
对于服务端或者数据库同样可以利用类似原理进行攻击。
这样攻击者就可以获取cookie、修改数据库等恶意操作了,非常危险。
先存储到服务端,比如数据库,然后吐给浏览器,浏览器执行的时候触发
用户点击的时候触发,比如攻击者构造出特殊的url地址,服务端解析后返回的时候就已经有恶意代码了。
同上,不过是直接就到浏览器了,执行后产生攻击。
相对于前两种,DOM型是浏览器触发的,其他两个是服务端触发的。
浏览器和服务端进行适当的代码转义即可防范大部分xss攻击,除此之外,还可以禁止一些不安全的操作,比如加载外域代码,控制内容输入长度,http-only(禁止js操作cookie),验证码等.
还有csp - 内容安全策略
感觉对比上面的csrf攻击,主要区别是:xss是利用用户对网站的信任,csrf是利用网站对用户操作的信任。
更多详见:
美团web安全-xss
其实和xss攻击中提及的数据库部分是一样的。
比如有这样一段sql语句:
sql = ‘select * from users where name=‘ + name;
name是由用户输入之后生成的,这时候如果直接将name结果拼接:
select * from users where name=‘‘ or ‘1‘=‘1‘;
这样不仅执行了原本的sql,还执行了攻击者的代码。
解决方法同上。
说白了就是过载,玩过炉石应该能具象出一副过载的画面吧~
你当前回合过载了,那你下回合就得休息休息。类比服务端也是一样的。如果处理的事务过多,后面的只能耐心等待(休息)。
我们可以限制ip的流量,有钱的话多整点服务也行,嘿嘿~
内容不多,但是尽量有用。
web安全是网站应用诞生的产物,一个攻一个守,本文介绍的只是冰山一角,希望能帮到有需要的人。
最近发现博客园上的图片不会自动转成自己的图床cdn地址,依然使用的外站,导致图片资源403,也是让我挺头疼了,虽然加了meta:
<meta name=‘referrer‘ content=‘never‘>
但是在部分手机浏览器上还是有问题,再贴一个防盗链文章地址吧。留给自己看~
这篇就到这啦~
拜了个拜~
标签:怎么 token alt 产生 利用 否则 官方网站 完全 其他
原文地址:https://www.cnblogs.com/yangzhuxian/p/13371649.html