|
Post by account_disabled on Feb 1, 2024 1:14:06 GMT -8
该操作进行。如果随机数自生成以来已超时则我们拒绝该请求。 复制 这可以保护我们免受 CSRF 攻击因为攻击者的网站无法生成我们的随机数。 如果您不使用随机数您的用户可能会被欺骗去做他们通常不会做的事情。请注意即使您确实使用了随机数您仍然可能容易受到点击劫持攻击。 3.点击劫持 虽然点击劫持并未出现在2010 年 OWASP 前十名名单中但最近由于针对 Twitter 和 Facebook 的攻击而声名大噪由于这些平台的社交性质这两个平台的传播速度非常快。 现在由于我们使用了随机数我们可以免受 CSRF 攻击但是如果用户被欺骗自己点击提交链接那么随机数将无法保护我们。在这种攻击中攻击者将我们的网站包含在他们自己网站的 iframe 中。攻击者无法控制我们的页面但他们确。 实控制了iframe元素。他们使用 CSS 将 iframe 的不透明度设置为 0然后使用 JavaScript 来移动它以便提交按钮始终位于用户的鼠标下方。这是Facebook Like 按钮点击劫持攻击中使用的技术。 帧破坏似乎是防止这种情况的最明显的方法但它并不是万 购买电话号码列表 无一失的。例如security=“restricted”向 iframe 添加该属性将阻止任何 Frame Busting 代码在 Internet Explorer 中运行并且也有一些方法可以阻止 Firefox 中的 Frame Busting。 更好的方法可能是默认禁用提交按钮然后在确定这样做安全后使用 JavaScript 来启用它。在上面的示例中我们的代码如下:复制 这样我们就可以确保除非我们的页面在顶级窗口中运行否则无法单击提交按钮。不幸的是这也意味着禁用 JavaScript 的用户也将无法单击提交按钮。 4.SQL注入。 在这种攻击中攻击者利用输入验证不足来获取数据库服务器上的 shell 访问权限。XKCD 对 SQL 注入有一个幽默的看法: s://xkcd/327/ 完整图像(来自 xkcd) 让我们回到上面的例子。我们特别看一下该save_message函数。 制 当它传递到数据库时它最终可能会删除表Messages给您和您的用户带来很多痛苦。这种攻击只会引起攻击者的注意但除此之外几乎没有其他作用。攻击者更有可能使用此类攻击代表其他用户插入垃圾邮件数据。请考虑以下消息: test', 'user2', 'Cheap medicine at ...', 'user3', 'Cheap medicine at ... 复制 在这里攻击者成功地在不需要访问其帐户的情况user2下将垃圾邮件插入到评论流中。user3攻击者还可以使用它来下载您的整个用户表其中可能包括用户名、密码和电子邮件地址。 幸运。
|
|