admin 管理员组文章数量: 887017
2024年3月10日发(作者:安卓开发毕业设计)
0x00 导言
早在1995年,《乔布斯:遗失的访谈》节目里乔布斯提到:「未来,互联网与 Web 是
一个大趋势。」这句话在互联网初兴的1995年无疑是具备极强预见性的。如果,我们把网
络空间分为三大组成部分(云->管->端)来看的话,现在的云几乎都是基于 Web 的成熟
协议来对外提供服务的,比如 HTTP 协议,最流行的传输格式是 JSON,其次如 XML 等。
HTTP 协议的成熟大大促进了端上浏览器(或浏览器内核)的发展,浏览器的发展注
定了 Web 的势不可挡,HTML/XML->XHTML->HTML5,这种技术架构完美地把背后
高冷的信息以可视化的方式呈现在大家面前。说这些是想说,端上无论是 PC、Pad 还是
手机,只要你联网,Web 的方式或技术是无处不在的。因此,随着互联网的不断扩张,
WEB攻击的数量逐年上升,占了大部分攻击事件比例。Web安全已经推到了前沿浪尖,
无论是政府还是企业都迫切解决这个棘手的问题。
0x01 回顾
Gartner 统计:目前75%攻击转移到应用层。原有的传统防御设备已经不能满足企
业对网络攻击的防御。
在中国,过去的2014年是信息安全爆炸的一年,Dns大劫难,某旅游网站信用卡事
件,心脏出血漏洞,破壳漏洞及各大快递,电商和某大型火车票网站的数据都牵动的圈内
圈外人的心。
这种趋势并没有在今年有所减缓,例如今年以来四个影响深远的网络安全事件,海康
威视被黑客植入代码 导致被远程监控(2月27日),网易骨干网遭攻击 百万用户无法使
用网易服务(5月11日),携程网内部员工误删除代码 网站整体宕机12小时(5月28
日),国外黑客公司Hacking Team泄露的黑客技术资料(7月6日)
0x02 传统的Web攻击及防护
跨站请求伪造防护
1. 将cookie设置未HttpOnly;
2. 增加token ,表单中增加一个隐藏域,提交时将隐藏域提交,服务端验证token;
3. 通过referer识别 ,根据Http协议,在HTTP头中有一个字段交Referer,它记
录了HTTP请求的来源地址。如果攻击者要实施csrf攻击时,必须从其他站点伪造请求,
当用户通过其他网站发送请求时,请求的Referer的值是其他网站的网址。因此可以对每
个请求验证其Referer值即可。
2.劫持攻击
2.1.点击劫持: 被攻击的页面作为iframe,用Mask的方式设置为透明放在上层,恶
意代码偷偷地放在后面的页面中,使得一个页面看起来似乎是安全的,然后诱骗用户点击
版权声明:本文标题:“没有绝对安全的系统”--web安全风险浅析 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1710070140h557069.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论