• 欢迎访问 winrains 的个人网站!
  • 本网站主要从互联网整理和收集了与Java、网络安全、Linux等技术相关的文章,供学习和研究使用。如有侵权,请留言告知,谢谢!

如何有效预防XSS

如何有效预防XSS
大家应该都听过 XSS (Cross-site scripting) 攻击问题,或多或少会有一些了解,但貌似很少有人将这个问题放在心上。一部分人是存有侥幸心理:“谁会无聊攻击我们的网站呢?”;另一部分人可能是工作职责所在,很少触碰这个话题。希望大家看过这篇文章之后能将问题重视起来,并有自己的解决方案, 目前XSS攻击问题依旧很严峻: Cross-site s……继续阅读 »

winrains 4个月前 (03-07) 39浏览 0个赞

如何防止CSRF攻击

如何防止CSRF攻击
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全……继续阅读 »

winrains 8个月前 (10-29) 13浏览 0个赞

如何防止XSS攻击

如何防止XSS攻击
前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强……继续阅读 »

winrains 8个月前 (10-29) 26浏览 0个赞

DNS劫持

DNS劫持
作为《DNS攻击防范科普系列》的最后一篇,今天我们来好好聊聊DNS劫持。先回顾一下DNS劫持的概念?DNS劫持即通过某种技术手段,篡改正确域名和IP地址的映射关系,使得域名映射到了错误的IP地址,因此可以认为DNS劫持是一种DNS重定向攻击。DNS劫持通常可被用作域名欺诈,如在用户访问网页时显示额外的信息来赚取收入等;也可被用作网络钓鱼,如显示用户访问的虚……继续阅读 »

winrains 8个月前 (10-29) 26浏览 0个赞

Session攻击手段及其安全防御措施

Session攻击手段及其安全防御措施
一、 概述 对于Web应用程序来说,加强安全性的第一条原则就是——不要信任来自客户端的数据,一定要进行数据验证以及过滤才能在程序中使用,进而保存到数据层。然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,……继续阅读 »

winrains 10个月前 (09-10) 45浏览 0个赞

Web 漏洞分析与防御(3): 点击劫持

Web 漏洞分析与防御(3): 点击劫持
一、全称 点击劫持,顾名思义,用户点击某个按钮,却触发了不是用户真正意愿的事件。 二、原理 用户在登陆 A 网站的系统后,被攻击者诱惑打开第三方网站,而第三方网站通过 iframe 引入了 A 网站的页面内容,用户在第三方网站中点击某个按钮(被装饰的按钮),实际上是点击了 A 网站的按钮。 三、演示攻击 演示图如下: 用户登录论坛系统后,被攻击者诱骗点击……继续阅读 »

winrains 10个月前 (09-02) 21浏览 0个赞

Web 漏洞分析与防御(2): CSRF跨站请求伪造

Web 漏洞分析与防御(2): CSRF跨站请求伪造
一、全称 跨站请求伪造(Cross-site Request Forgery) 二、原理 在用户登陆目标网站后,后端会返回用户登陆的凭证到前端(浏览器的 cookie)。攻击者诱使用户点击某个超链接,该超链接会发送恶意请求(会携带用户的 cookie),从而冒充用户完成业务请求(发帖、盗取用户资金等)。 三、攻击方式 笔者以网站的发帖功能为案例对 CSRF……继续阅读 »

winrains 10个月前 (09-02) 13浏览 0个赞

Web 漏洞分析与防御(1): XSS跨站脚本攻击

Web 漏洞分析与防御(1): XSS跨站脚本攻击
一、全称 跨站脚本攻击(Cross Site Scripting) 二、原理 通过在网站中的输入框写入 script 脚本或引入 script 文件,如果网站未过滤输入内容,将会解析该脚本。 如果脚本的功能是获取网站的 cookie,cookie 中又保留一些敏感信息,则后果有可能很严重。 三、类型 反射型攻击:脚本当作 url 的参数进行注入执行 ……继续阅读 »

winrains 10个月前 (09-02) 17浏览 0个赞

HTTPS中间人攻击实践

HTTPS中间人攻击实践
前言 很早以前看过HTTPS的介绍,并了解过TLS的相关细节,也相信使用HTTPS是相对安全可靠的。直到前段时间在验证https代理通道连接时,搭建了MITM环境,才发现事实并不是我想的那样。由于部分应用开发者忽视证书的校验,或者对非法证书处理不当,让我们的网络会话几乎暴露在攻击者面前。 下文会向大家展示的对IOS系统上2款常见的应用(知乎,360浏览器)进……继续阅读 »

winrains 10个月前 (08-31) 22浏览 0个赞