随笔分类 - 前端安全
API安全技术
摘要:自己在日常工作中会涉及到些安全的概念,但是没有成体系,因此最近研读了《API安全技术与实战》一书,在此做些文章记录。 API安全是从安全的角度关注API领域的安全问题和这些问题的解决方案,从技术和管理两个层面提高API自身和API周边生态的安全性。 1)OWASP API 安全漏洞类型 OWASP(
阅读全文
安全攻防技能30讲
摘要:《安全攻防技能30讲》是极客时间上的一个关于Web安全的专栏,在学习之后特在此做记录和总结。 一、安全基础概念 先和你聊聊安全本身,以帮你建立整体的大局观。安全的本质就是保护数据被合法地使用。 1)安全原则 CIA 三元组原则,是安全领域内最基础也最重要的原则。 (1)机密性(Confidentia
阅读全文
谨慎能捕千秋蝉(三)——界面操作劫持与HTML5安全
摘要:一、界面操作劫持 1)ClickJacking ClickJacking点击劫持,这是一种视觉上的欺骗。 攻击者使用一个透明的、不可见的iframe,覆盖在网页的某个位置上,诱使用户点击iframe。 2)TapJacking 现在移动设备的使用率越来越高,针对移动设备的特点,衍生出了TapJack
阅读全文
谨慎能捕千秋蝉(二)——CSRF
摘要:CSRF(Cross Site Request Forgery)跨站点请求伪造。 CSRF的本质是当重要操作的参数都能被攻击者预测到,才能成功伪造请求。 一、场景演示 下图是一个伪造请求的场景,按顺序来看; 1、2是正常登陆并产生Cookie,3、4是在登陆后访问骇客的网站并发请求,5是服务器执行骇
阅读全文
谨慎能捕千秋蝉(一)——XSS
摘要:最近在研读《白帽子讲web安全》和《Web前端黑客技术揭秘》,为了加深印象,闲暇之时做了一些总结。 下面是书中出现的一些专有词汇: POC(Proof Of Concept):观点验证程序,运行这个程序就可以得出预期的结果,也就验证了观点。 Payload:有效负载,在病毒代码中实现这个功能的部分。
阅读全文