《白帽子讲web安全》读书笔记

白帽子兵法

1. Secure By Default 原则（白名单黑名单、最小权限原则）
2. 纵深防御原则
3. 数据和代码分离原则
4. 不可预测性原则

客户端脚本安全

浏览器安全

同源策略

跨站脚本攻击XSS

反射性XSS：简单地把用户输入的数据“反射”给浏览器
存储型XSS：会把用户输入的数据“存储”在服务器端
DOM Based XSS：通过修改页面DOM节点形成的XSS

XSS防御：

1. HttpOnly，设置cookie属性为HttpOnly
2. 输入检查
3. 输出检查
4. 处理富文本

跨站点请求伪造（CSRF）

CSRF防御：

1. 验证码
2. Referer check
3. Anti CSRF Token

点击劫持

点击劫持是一种视觉上的欺骗手段，攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在此网页上进行操作，此时用户将在不知情的情况下点击头哦名的iframe的页面。通过调整iframe页面的位置，可以诱使用户恰好店家在iframe页面的一些功能性按钮上。

服务器端应用安全

盲注：在服务器没有错误回显时完成的注入攻击。

web框架安全

应用层拒绝服务攻击

DDOS:又称分布式拒绝服务。
分布式拒绝服务：将正常的请求放大了若干倍，通过若干个网络节点同时发起攻击，以达到规模效应。

CC攻击：就是对一些消耗资源较大的应用页面不断发起正常的请求，以达到消耗服务端资源的目的。

预防措施：

1. 限制请求频次（eg:每个客户端限制一次请求）；
2. 限制每个ip请求频次；
3. 使用验证码；