网络安全
最近在开发dileber框架的生成工具,生成大概明天就能上线,中间先插入一段无关紧要的博客,博客主要讲关于网络安全的:
日后会在dileber框架中体现安全开发
---------------------------------------我是分隔线--------------------------------------------------------------------------
先简单介绍一下XSS
XSS是一种注入类攻击目前分为三种
1、反射性
2、存储性
3、dom型
简单的xss大概就是一段js脚本代码
其他的还有 ifrom img标签一类的
大概作用可以窃取cookie什么的,
如果要防范的话,
策略上呢,防止cookie被窃取用httponly可以解决,将关键的cookie用httponly
html最好在输出端做操作,貌似owasp可以帮你解决一类的
还有一种 CSRF(跨站请求伪造)
大概这种请求对受害者需要了解的比较多才能做到,
比如在受害者经常进入的网站里嵌入脚本什么的,链接的话就可以帮助你完成你想要的
解决方案呢:
可以试着验证 refer~什么的,但是不是很好
进一步可以试着用token来做验证
目前java的一些网站框架就自带这些东西了
还有一种就是 SSRF
大概就是服务器不小心被自己坑了~~
有关mysql 的权限~~要低权限哈~~别给太高的权限
注意文件上传的问题,如果上传了可执行文件,就会出现问题,注意监测
down.jsp?path=1.jsp
还有注意网站重定向
如果重定向是依靠网址重定向,则可能会被劫持跳转到其他钓鱼网站。
查询服务器目录
如果页面中有传路径查看文件可能会出现问题
比如 path=../etc/password
或者 ../WEB-INF/web.xml
解决过滤 ../
或者用file表或者hash值来做id
注意这些请求
curl:
ftp:
file:
sql注入工具
sqlmap
xss
御剑
用户的role权限不建议写在session中