白帽子兵法
- Secure By Default 原則(白名單黑名單、最小權限原則)
- 縱深防御原則
- 數據和代碼分離原則
- 不可預測性原則
客戶端腳本安全
瀏覽器安全
同源策略
跨站腳本攻擊XSS
反射性XSS:簡單地把用戶輸入的數據“反射”給瀏覽器
存儲型XSS:會把用戶輸入的數據“存儲”在服務器端
DOM Based XSS:通過修改頁面DOM節點形成的XSS
XSS防御:
- HttpOnly,設置cookie屬性為HttpOnly
- 輸入檢查
- 輸出檢查
- 處理富文本
跨站點請求偽造(CSRF)
CSRF防御:
- 驗證碼
- Referer check
- Anti CSRF Token
點擊劫持
點擊劫持是一種視覺上的欺騙手段,攻擊者使用一個透明的、不可見的iframe,覆蓋在一個網頁上,然后誘使用戶在此網頁上進行操作,此時用戶將在不知情的情況下點擊頭哦名的iframe的頁面。通過調整iframe頁面的位置,可以誘使用戶恰好店家在iframe頁面的一些功能性按鈕上。
服務器端應用安全
盲注:在服務器沒有錯誤回顯時完成的注入攻擊。
web框架安全
應用層拒絕服務攻擊
DDOS:又稱分布式拒絕服務。
分布式拒絕服務:將正常的請求放大了若干倍,通過若干個網絡節點同時發起攻擊,以達到規模效應。
CC攻擊:就是對一些消耗資源較大的應用頁面不斷發起正常的請求,以達到消耗服務端資源的目的。
預防措施:
- 限制請求頻次(eg:每個客戶端限制一次請求);
- 限制每個ip請求頻次;
- 使用驗證碼;
