技術問答
技術文章
iT 徵才
Tag
聊天室
2024 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 11 屆 iThome 鐵人賽
DAY
14
1
Security
不小心飛進資安之旅(學習筆記)
系列 第
14
篇
Day14 常見的攻擊手法-XSS&CSRF (跨站腳本&跨站請求偽造)攻擊
11th鐵人賽
羽洛燁
2019-09-30 17:19:28
8303 瀏覽
分享至
A7:2017-Cross-Site Scripting (XSS) 跨站腳本
攻擊者利用網站漏洞把惡意的腳本代碼(通常包括HTML代碼和客戶端JavaScript腳本)注入到網頁中,當其他用戶瀏覽這些網頁時,就會執行其中的惡意代碼,對受害用戶可能採用Cookie資料竊取、會話劫持、釣魚欺騙等各種攻擊。
攻擊對策:檢查用戶輸入的內容中是否有非法內容。
如<>(尖括號)、”(引號)、 ‘(單引號)、%(百分比符號)、;(分號)、()(括號)、&(& 符號)、+(加號)等。、嚴格控制輸出
攻擊步驟:
攻擊者發現一個網站注入腳本漏洞
攻擊者使用竊取cookie的惡意java腳本在網站的數據庫中注入一個有效負載網站用攻擊者的有效載荷向受害者的瀏覽器發送頁面。
受害者的瀏覽器執行惡意腳本
腳本執行受害者將他的cookie發送給攻擊者
攻擊提取受害者的cookie,之後他將其用於會話劫持
CSRF Attacks 跨站請求偽造
使用者登入後,單憑瀏覽器與伺服端之間的會話溝通,使用者在無知的情況下,點選某外部網站的鏈結(甚至只是瀏覽了某個頁面)回到已登入網站,確認使用者的身分無誤而進行各種操作,使得攻擊者,只要能命令瀏覽器做出想要的請求,即使在沒有執行任何JavaScript的情況下,也能使CSRF攻擊成立
攻擊對策:
1. 儘量不使用自動登入,在使用者沒有活動一段時間之後,自動登出
2. 檢查 Referer,確認來源非跨站請求
3. 判定是不是合法 domain 的程式碼必須要保證沒有 bug
4. 加強使用者身分辨認機制,如圖形驗證碼、簡訊驗證碼
留言
追蹤
檢舉
上一篇
Day13 常見的攻擊手法-SQL注入
下一篇
Day 15 常見的攻擊手法-DoS&DDos攻擊
系列文
不小心飛進資安之旅(學習筆記)
共
20
篇
目錄
RSS系列文
訂閱系列文
38
人訂閱
16
Day 16 常見的攻擊手法-MitM(Man-in-the-middle) 攻擊
17
[遲]Day 17 Phishing Attacks 釣魚攻擊
18
[遲]Day 18 網頁劫持
19
[遲]Day 19 DNS劫持
20
【遲】Day 20 Http/Https劫持
完整目錄
直播研討會
{{ item.subject }}
{{ item.channelVendor }}
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
1064
組
團體組數
40
組
累計文章數
22174
篇
完賽人數
597
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
windows
php
c#
windows server
linux
css
react
vue.js
熱門問題
請教舊電腦架網站的防護措施
MSSQL 滿3個月的算法
qr code生成多功能系統
網路查詢指令應用
如何用指令自動偵測有插網線的網卡IP
JS 是否可以匯入「.xls」
administrators群組成員的管理員權限不見
電子書閱讀器購買和實體書的優缺勢分析
請示ip位置的問題
我只是要解新手任務 不用理這篇
熱門回答
請教舊電腦架網站的防護措施
administrators群組成員的管理員權限不見
AB兩點網路使用LTE數據機做連接
JS 是否可以匯入「.xls」
請示ip位置的問題
熱門文章
觀察 TCP UDP port 目的埠和應用程式的關係,CurrPorts 和 Microsoft Network Monitor
Python 中的控制流:讓程式更靈活
Win11 24H2 終於對 NTLM 動手了(感動
Microservice Pattern 犧牲了什麼?
Python for in 迴圈與 Tuple 解構
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}