梦回大二,那时候沉迷于毒奶粉,甚至国庆都在宿舍与毒奶粉共同度过,但是却发生了一件让我迄今难忘的事情~
我新练的黑暗武士被盗了!!!干干净净!!!
虽然过了好久了,但是记忆犹新啊,仿佛发生在昨天。记得那时候还在屯材料,金色小晶体是什么的。没日没夜的刷图攒钱,倒买倒卖假粉,真紫。后来刷悲鸣的时候爆了一把虫炮(一把价格蛮高的手炮武器),把我激动的哟。
然后就挂到拍卖行了,不一会居然有人私信我,说他看中了,但是游戏里的金币不够,看他挺诚心的,就和他商量怎么办~
最终方案就是他让我登录一个网站,然后输入我的qq号、密码。他会在那个网站上给我转钱。而且价格要比拍卖行高,我一想,不亏!就去了,但是当我输入账号密码后,我的游戏被中断了。等我马不停蹄的登录账号后,我的材料,武器,金币都没了~~
虽然说这个事和网络安全关系不是很大,完全是因为自己啥都不懂,那个网站应该不是腾讯官方的。相当于我把我的账号密码主动泄漏给他人了~
不过如果你想保护好的你的账号和隐私,对于网络安全还是有必要进行了解的。
csrf攻击 煮个例子:我登陆了腾讯官方网站(qq.com),这时候我的身份信息就被保留在cookies中了
那个坏人骗我访问另外一个非腾讯官网网站(xx.com)
xx.com有一段脚本会发往请求到qq.com,比如qq.com/some-action,这时候会携带之前被浏览器保存身份信息
qq.com收到了带有身份信息的请求,会正常处理
这时候的行为就不是我能控制的了,如果那个坏人利用我的身份信息向qq.com发送一个转义物品的请求,那我也没办法的。
上面的例子只是其中之一,还有各种各样的攻击方式,这里简单列举下:访问一个不安全地址,页面包含自动发送的get请求或post请求。
链接形式,比如图片,上面可能是各种诱导语。
那我们怎么避免csrf呢?这就需要我们对症下药,那有哪些明显的症状呢?
csrf发生在第三方网站
csrf攻击获取不到cookie信息,只是使用
那我们就可以开发出有疗效的药来治它。
阻止不被允许的第三方域发起请求 同源检测 + samesite cookie
类似于签名,要求附带源域产出的一些私密信息 csrf token + 双重cookie验证
人工验证
同源检测就是说检测来源是否合法,否则禁止请求。不过这种方法相对简单,只能防范常规的csrf攻击。
samesite cookie的话目前兼容性不是很好,还未普及,samesite cookie本身是用来限制在不同域下的请求时,cookie是否可被携带
csrf token是生成一个随机的token,注入到各种各样的链接地址或form表单中,利用的是csrf可获取浏览器设置的cookie,但是无法获取html上的随机数。token是一个很有效的方法,除了有点麻烦。
双重cookie验证,除了服务端设置的cookie外,每次访问页面还将自动设置一个随机的cookie,然后再请求的时候携带,之后服务端进行url上的cookie和浏览器上的cookie验证。该方法不仅减轻服务端压力,而且后端验证也方便,但是安全性没有token高。
人工验证。比如验证码、输入支付密码,这样即使你有cookie也无法攻击,因为还需要进一步信息验证。可以发现,很多网站都会有这一步人工验证的过程。
更多详见: 美团web安全-csrf
host、referrer、origin
xss攻击 什么是xssxss是是一种代码注入攻击,或者说是一种插入式脚本攻击,攻击者利用对浏览器、服务器、数据库的理解,在网站中插入各种可以和网站相关运行代码组合并可执行的脚本,之后在运行的时候不仅会执行网站本身的代码,还会执行攻击者插入的脚本。
比如获取url上的query进行搜索的搜索框,原来是这样的:
<input type="text" :value="searchWord">如果攻击者注入这样的代码:
"><script>alert('你被攻击了')</script>拼接后就会变成这样:
<input type="text" :value=""><script>alert('你被攻击了')</script>">当浏览器执行的时候,就会弹框。
对于服务端或者数据库同样可以利用类似原理进行攻击。
这样攻击者就可以获取cookie、修改数据库等恶意操作了,非常危险。
常见xss攻击存储式
先存储到服务端,比如数据库,然后吐给浏览器,浏览器执行的时候触发
反射性
用户点击的时候触发,比如攻击者构造出特殊的url地址,服务端解析后返回的时候就已经有恶意代码了。
DOM型
同上,不过是直接就到浏览器了,执行后产生攻击。
相对于前两种,DOM型是浏览器触发的,其他两个是服务端触发的。
药