安全

最后更新于:2022-04-02 04:30:31

## 安全 ![](http://cdn.aipin100.cn/18-4-12/17438693.jpg) ### 浏览器的安全防线: #### 同源策略: 1. 不能访问不同源框架页面 2. ajax不能请求不同源的url(web服务器可以设置允许跨域) 3. 请求时cookie只会向设置源地址发送,每个页面只能读到自己的源下的cookie * * * * * XSS:跨站脚本攻击 CSRF:跨站请求伪造攻击 [浏览器家族的安全反击战](https://mp.weixin.qq.com/s?__biz=MzAxOTc0NzExNg==&mid=2665514143&idx=1&sn=28ea209c00309e6b93d8d1f76032d7a4&chksm=80d67cdcb7a1f5ca81d8d454a98af56d58b22f6058f100e21ff30e70867ea6e3e922a4f000bf&scene=21#wechat_redirect) [Web 安全之跨站脚本攻击(XSS)](https://mp.weixin.qq.com/s/DbnxvQxiGgTsLq_fxAaRKg) [浅谈 CSRF 攻击方式](https://mp.weixin.qq.com/s?__biz=MjM5NTEwMTAwNg==&mid=2650211731&idx=3&sn=edf115407a5b9231d03e713cf94a6217&chksm=befe05b289898ca408d6dd0476174e47e5992d1845946e8a2633ced9fdd62d935a846c00a07c&scene=21#wechat_redirect) [session fixation攻击 - CSDN博客](https://blog.csdn.net/wauit/article/details/47402125) [session记录 · php笔记 · 看云](https://www.kancloud.cn/xiak/php-node/519510) [接口开发 · 前端笔记 · 看云](https://www.kancloud.cn/xiak/quanduan/275548) [web beacon - jvava - 博客园](https://www.cnblogs.com/jvava/p/3926539.html) [老生常谈重放攻击的概念(必看篇) - CSDN博客](https://blog.csdn.net/heluan123132/article/details/74375304) >[danger] 重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输。 > > 解决方案:1. 令牌使用一次就过期; 2. 时间戳:A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳(但还不是绝对的安全,如果攻击者截获后立马实施重放,就无法辨别攻击);3. 序号:增加一个参数,双方协定变更方法;4. 提问与应答:类似于防止表单重复提交的`__token__`和解决跨站请求伪造攻击的`__token__`,这种方式都需要“适用性──用于连接性的对话”,即用户要先请求服务器获取这个`随机因子`;(注意,__token__ 后端这个是验证一次就失效的,每次获取都是一个新的。这点很重要,要说出来。) > **允许所有域名可以跨域请求你是很危险的**,如果这样,你应对跨站请求伪造攻击的`__token__`就没用了,别人用ajax获取你的表单页面,就能从中提取`__token__`了(如果是需要登录页面的话,也是安全的,坏人没有用户的cookie),所以不能允许别人跨域,至于别人用`jsonp`也没有用的,如果用图片请求也是获取不到你的表单页面的,内联框架是可以,不过同源策略,别人访问不到框架里面的内容。不知道还有没其它的方式可以攻破这个防守,比如`flash`呢,能做到随便拿到我们的表单页面吗,如果这样那我们就无法防止跨站请求伪造了,当访问恶意网站就可能出现钱直接被转走了,所以重要的敏感操作还是要发送短信安全码验证才能操作,不然危险。还有一定要上`https`,虽然道高一尺魔高一丈,但我们也绝对不放弃,不惜一切提高系统安全,增加黑客攻破系统的成本,永远走在作恶的人前面就是安全的。 当然,如果用户装上了黑客给他的浏览器,那么同源策略就不复存在了,上面安全就不必要讨论了,用户都装上了黑客做的浏览器,还指望什么安全,还指望什么隐私。 https只能保护传输链路中的数据,所以flash如果能获取包含`__token__`的表单页面,那么也能被攻破。 是不是因为这些原因,flash不安全啊,能力太大的东西,掌控不了它,有人就会起坏心思,所以就不安全。 >[tip] 如果黑客同时利用 XSS CSRF 那么,以上`__token__`也没用了,黑客都能在你页面注入代码了,都能伪造用户登录了,还有什么防守有用呢,所以敏感的操作一定要增加其他方式验证取得临时授权才能操作。 > > Token是一个比较有效的CSRF防护方法,只要页面没有XSS漏洞泄露Token,那么接口的CSRF攻击就无法成功。 > 即使其他人窃取到了你的cookie 重要的数据访问接口加一道手机验证码 这样就安全了!**互联网网站上永远别信任已经登录的用户就是本人在操作** * * * * * [每周分享第 5 期 - 阮一峰的网络日志](http://www.ruanyifeng.com/blog/2018/05/weekly-issue-5.html) [Firefox 60 支持同域才能发送 Cookie](https://blog.mozilla.org/security/2018/04/24/same-site-cookies-in-firefox-60/) 本月初,Firefox 60 浏览器发布。它有一个很大的亮点,我看提到的人不多,就是它解决了 CSRF 攻击。 所谓 CSRF 攻击,就是使用真实的 Cookie 进行恶意行为。比如,用户访问 B 网站,页面上有一张来自 A 图站的图片,这时浏览器就会向 A 网站发出请求,并带上 A 网站的 Cookie。如果这张图片的 URL 被精心伪造过(比如是划款请求),麻烦就来了。因为 A 网站的服务器会以为,这个请求是真实的请求,因为 Cookie是对的,从而授权进行各种操作。 Firefox 60 按照最新的标准,为 Cookie 新增了一个 SameSite 属性,明确规定访问 B 网站时向 A 网站发出的请求,一律不许带上 Cookie,这就从根本上防止了 CSRF 攻击。 另外,Firefox 60 还默认打开了 ES6 模块支持,至此所有浏览器都默认支持 ES6 模块。 * * * * * [黑客攻防日记](https://mp.weixin.qq.com/s/9ZB923jDybc143UKl1BRmQ) [ThinkPHP安全规范指引 · ThinkPHP官方博客 · 看云](https://blog.thinkphp.cn/789333) [前端安全系列(一):如何防止XSS攻击? - 美团技术团队的个人空间 - 开源中国](https://my.oschina.net/meituantech/blog/2218539) [前端安全系列之二:如何防止CSRF攻击? - 美团技术团队的个人空间 - 开源中国](https://my.oschina.net/meituantech/blog/2243958) [如何在7分钟内黑掉40家网站?](https://mp.weixin.qq.com/s/HCZ49xzD1HoUrFuUoj9pBg) [2000 多个 Bug!这个系统让银行瘫痪、13 亿人账户出错、最终损失超过 28 亿](https://mp.weixin.qq.com/s/TclzWQ3CzeaQQSrjezPoiA) [浅谈SQL注入防护,提升数据库安全](https://mp.weixin.qq.com/s/R0kicuQitqpEQbZjGrSqQw) [一个历时五天的 Bug](https://mp.weixin.qq.com/s/J_8iMo-M4plvLo1zzw8d2w) [PHP 安全问题入门:10 个常见安全问题 + 实例讲解](https://mp.weixin.qq.com/s/tcYugFroSsR9fFy7rX0O0Q) [ThinkPHP5.\*版本发布安全更新](https://blog.thinkphp.cn/869075) [回忆phpcms头像上传漏洞以及后续影响](https://www.leavesongs.com/PENETRATION/after-phpcms-upload-vul.html) [一夜之间收到上百条短信,账户空了... 这种诈骗方式的背后技术原理](https://mp.weixin.qq.com/s/5wVoBzQjBvJ-XyRdDsSikg) [计时攻击 Timing Attacks | | 酷 壳 - CoolShell](https://coolshell.cn/articles/21003.html) [狡猾无比的超级网络间谍](https://mp.weixin.qq.com/s/zzotMUrx8Ac4RtvgI0z_yw) [fastjson到底做错了什么?为什么会被频繁爆出漏洞?](https://mp.weixin.qq.com/s/xFS9I2vjwbYIBTszjOBfnw) [深夜,我偷听到程序员要对 session 下手…](https://mp.weixin.qq.com/s/-OF51ge5tZpSFX9Hqdou-Q) * * * * * last update:2018-3-30 06:40:56
';