白帽子兵法
- Secure By Default 原则(白名单黑名单、最小权限原则)
- 纵深防御原则
- 数据和代码分离原则
- 不可预测性原则
客户端脚本安全
浏览器安全
同源策略
跨站脚本攻击XSS
反射性XSS:简单地把用户输入的数据“反射”给浏览器
存储型XSS:会把用户输入的数据“存储”在服务器端
DOM Based XSS:通过修改页面DOM节点形成的XSS
XSS防御:
- HttpOnly,设置cookie属性为HttpOnly
- 输入检查
- 输出检查
- 处理富文本
跨站点请求伪造(CSRF)
CSRF防御:
- 验证码
- Referer check
- Anti CSRF Token
点击劫持
点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在此网页上进行操作,此时用户将在不知情的情况下点击头哦名的iframe的页面。通过调整iframe页面的位置,可以诱使用户恰好店家在iframe页面的一些功能性按钮上。
服务器端应用安全
盲注:在服务器没有错误回显时完成的注入攻击。
web框架安全
应用层拒绝服务攻击
DDOS:又称分布式拒绝服务。
分布式拒绝服务:将正常的请求放大了若干倍,通过若干个网络节点同时发起攻击,以达到规模效应。
CC攻击:就是对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务端资源的目的。
预防措施:
- 限制请求频次(eg:每个客户端限制一次请求);
- 限制每个ip请求频次;
- 使用验证码;
