技術問答
技術文章
iT 徵才
Tag
聊天室
2025 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 11 屆 iThome 鐵人賽
DAY
14
1
Security
不小心飛進資安之旅(學習筆記)
系列 第
14
篇
Day14 常見的攻擊手法-XSS&CSRF (跨站腳本&跨站請求偽造)攻擊
11th鐵人賽
羽洛燁
2019-09-30 17:19:28
9043 瀏覽
分享至
A7:2017-Cross-Site Scripting (XSS) 跨站腳本
攻擊者利用網站漏洞把惡意的腳本代碼(通常包括HTML代碼和客戶端JavaScript腳本)注入到網頁中,當其他用戶瀏覽這些網頁時,就會執行其中的惡意代碼,對受害用戶可能採用Cookie資料竊取、會話劫持、釣魚欺騙等各種攻擊。
攻擊對策:檢查用戶輸入的內容中是否有非法內容。
如<>(尖括號)、”(引號)、 ‘(單引號)、%(百分比符號)、;(分號)、()(括號)、&(& 符號)、+(加號)等。、嚴格控制輸出
攻擊步驟:
攻擊者發現一個網站注入腳本漏洞
攻擊者使用竊取cookie的惡意java腳本在網站的數據庫中注入一個有效負載網站用攻擊者的有效載荷向受害者的瀏覽器發送頁面。
受害者的瀏覽器執行惡意腳本
腳本執行受害者將他的cookie發送給攻擊者
攻擊提取受害者的cookie,之後他將其用於會話劫持
CSRF Attacks 跨站請求偽造
使用者登入後,單憑瀏覽器與伺服端之間的會話溝通,使用者在無知的情況下,點選某外部網站的鏈結(甚至只是瀏覽了某個頁面)回到已登入網站,確認使用者的身分無誤而進行各種操作,使得攻擊者,只要能命令瀏覽器做出想要的請求,即使在沒有執行任何JavaScript的情況下,也能使CSRF攻擊成立
攻擊對策:
1. 儘量不使用自動登入,在使用者沒有活動一段時間之後,自動登出
2. 檢查 Referer,確認來源非跨站請求
3. 判定是不是合法 domain 的程式碼必須要保證沒有 bug
4. 加強使用者身分辨認機制,如圖形驗證碼、簡訊驗證碼
留言
追蹤
檢舉
上一篇
Day13 常見的攻擊手法-SQL注入
下一篇
Day 15 常見的攻擊手法-DoS&DDos攻擊
系列文
不小心飛進資安之旅(學習筆記)
共
20
篇
目錄
RSS系列文
訂閱系列文
38
人訂閱
16
Day 16 常見的攻擊手法-MitM(Man-in-the-middle) 攻擊
17
[遲]Day 17 Phishing Attacks 釣魚攻擊
18
[遲]Day 18 網頁劫持
19
[遲]Day 19 DNS劫持
20
【遲】Day 20 Http/Https劫持
完整目錄
熱門推薦
{{ item.subject }}
{{ item.channelVendor }}
|
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
414
組
團體組數
14
組
累計文章數
3056
篇
最後報名日
9/15
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
17th鐵人賽
windows
php
c#
windows server
linux
css
react
熱門問題
不知道網路紅隊的要去那加公司
備份映像檔
Outlook 寄件備份消失問題 (已解決)
aws ec2 檢查故障問題
請問有人遇過在lightsail上部屬fastapi失敗的案例?
IIS 管理員 連線功能不見
Jaspersoft 的資料庫連結 出現錯誤:驅動程式無法使用安全通訊端層 (SSL) 加密建立與 SQL Server 的安全連接。
port-forwading到遠程網段
熱門回答
不知道網路紅隊的要去那加公司
備份映像檔
請問有人遇過在lightsail上部屬fastapi失敗的案例?
aws ec2 檢查故障問題
熱門文章
什麼是 Signal ?
第10天,No-Code 快速上線又省錢 / 原汁排骨湯 台北最好喝的排骨湯(台北萬華)| 30天滷肉飯
序: AI 加速編碼後,你該學什麼?
Signal 的核心概念
第11天,LibreOffice 更省錢 / 司機俱樂部 宵夜好選擇(台北松山)| 30天滷肉飯
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}