随笔分类 - 安全
关于安全的一些东西。
摘要:一、CSRF是什么CSRF,全称:Corss-site request forgery,中文名称:跨站请求伪造。CSRF攻击比XSS攻击更具危险性,被安全界称为“沉睡的巨人”。 二、CSRF可以做什么攻击者通过一定手段盗取合法用户在某个网站上的登录信息,然后以该合法用户的身份模拟发送各种请求。 三、
阅读全文
摘要:跨站点脚本攻击:通过对网页注入恶意脚本,成功地被浏览器执行,来达到攻击的目的。 一、XSS攻击类型与原理1. 反射型XSS攻击非持久性攻击,黑客使用社交性的交互技巧诱导用户点击访问目标服务器的链接,但是链接中内嵌了恶意代码,目标服务器将恶意代码原样返回,用户浏览器执行恶意代码,从而达到攻击目的。 攻
阅读全文
摘要:一、会话攻击主要类型1. 会话固化 (图来自《PHP应用程序安全编程》)攻击者首先构造一个值,然后以某种方式引导用户以该值作为会话ID去请求目标网站,例如点击一个链接...?PHPSESSID=123456,如果用户登录时网站直接使用这个值作为登录后的会话ID,那么黑客就可以使用这个值作为会话ID请
阅读全文
摘要:一、缓冲区溢出攻击的原理 程序运行时,其在内存中的存储可划分为四个区:代码区、数据区、栈区、堆区,除了代码区,其他三个区都是缓冲区。栈保存了当前正在执行的函数的相关信息: 其中,返回地址是调用程序指令保存在内存中的地址,计算机执行完当前函数以后,将根据返回地址找到下一个程序指令并执行。 栈存储内容时
阅读全文
摘要:一、与DoS攻击相关的几个概念 1. DoS:Denial of Service,拒绝服务,即无法及时接收并处理外界合法请求。 2. DoS攻击:指造成DoS的攻击行为,目的是使攻击目标计算机无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。其中,带宽攻击是指以极大通信量冲击通
阅读全文
