《Web安全開發指南》讀後總結
大概一星期前就讀完了。
之前瞭解到一些關於XSS攻擊和CSRF攻擊的內容,不過不甚瞭解,看到這本書也是講這方面的內容,於是就入手了。其實,內容和自己當初入手時想的還是有差距的。這本書更多的是偏向理論性的東西,實戰性的內容很少。而且裡面很多理論是站在作為產品負責人的角度來思考的。由於我現在還是學生,也還缺乏足夠的專案經驗,裡面有些理論在目前來看還是不好理解。不過讀了這本書還是有所收穫的,特別是對於web安全需要在開發前開發時以及開發完成進行測試時需要在安全方面進行思考和檢測的地方有了比較清晰的認識。
不久前,自己也學習了一些實戰性比較強的關於web安全的內容,順便做做記錄總結一下吧。
1.防止XSS攻擊策略
防止html標籤和屬性方面攻擊——對特殊符號進行轉義(這方面可以谷歌一下防XSS攻擊轉義函式)
防止js程式碼攻擊——對資料進行編碼(JSON.stringify函式)
富文字防止XSS——白名單和黑名單防禦方法
黑名單過濾:指定特定的屬性和標籤不允許使用,比如:標籤。缺點是可能出現遺漏,因為標籤的確很多很難做到無缺漏。
白名單過濾:只允許指定的標籤屬性可以使用,使用者功能受到限制,優點是操作簡單,不容易出現遺漏。
PS:開發中可能使用的工具
cheerio 和 xss:
https://github.com/cheeriojs/cheerio
https://github.com/leizongmin/js-xss/blob/master/README.zh.md
CSP:內容安全策略
https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
2.CSRF攻擊防禦
利用cookie same-site屬性(防止跨源帶cookie訪問)
利用影像驗證碼(這個經常可以看到啦)
PS:工具ccap
token驗證(隨機字串)——這個之前使用laravel的時候就接觸過,好像好多框架都會引入相應的token模組。
驗證referer
3.cookies 安全
使用者登入驗證:利用賬戶密碼+簽名id
sessionid 方法:利用隨機生成的字串存於cookies 用作使用者標示,不需要再cookies中儲存使用者資訊
4.防止點選劫持
點選劫持 (Clickjacking) 技術又稱為介面偽裝攻擊 (UI redress attack ),是一種視覺上的欺騙手段。攻擊者使用一個或多個透明的 iframe 覆蓋在一個正常的網頁上,然後誘使使用者在該網頁上進行操作,當使用者在不知情的情況下點選透明的 iframe 頁面時,使用者的操作已經被劫持到攻擊者事先設計好的惡意按鈕或連結上。攻擊者既可以通過點選劫持設計一個獨立的惡意網站,執行釣魚攻擊等;也可以與 XSS 和 CSRF 攻擊相結合,突破傳統的防禦措施,提升漏洞的危害程度 詳情可參考這篇文章:http://www.jianshu.com/p/251704d8ff18 防禦:利用javascript程式碼禁止內嵌;利用X-Frame-Options禁止內嵌
5.http傳輸竊聽
防禦:利用https傳輸協議;利用ca證照認證。
6.sql注入
ps:這個是關於資料庫方面的知識,涉及到sql語言,最近才在學習,這裡就簡單提一下,因為自己還不是很理解。原理:就是利用好sql語法就行偽造查詢資料庫資訊,從而竊取資料庫資料。
以上。
技術之路漫漫無終,唯有潛心學習積累。
相關文章
- 《Web應用安全權威指南》讀後有感Web
- nodejs開發指南讀後感NodeJS
- 移動web開發總結Web
- Web APP開發技巧總結WebAPP
- MySQL 讀後總結MySql
- web前端開發規範總結Web前端
- web移動開發總結(六)Web移動開發
- Web高效能開發總結Web
- Web總結:部署和安全Web
- PHP開發安全問題總結PHP
- 深入分析 Java Web 技術內幕讀後總結JavaWeb
- 前後端開發流程總結後端
- 騰訊後臺開發面試總結面試
- MySQL 讀後總結 (三)MySql
- 《全端Web開發》選譯——總結Web
- 「真®全棧之路」Web前端開發的後端指南全棧Web前端後端
- 安全開發工作總結v1.0
- python後端開發面試總結Python後端面試
- Web 開發進階指南Web
- Web開發初學指南Web
- 陌陌Feed讀後總結
- 《小艾上班記》—— 讀後總結
- Flask RESTful Web服務的開發套路總結FlaskRESTWeb
- Go Web開發入坑指南GoWeb
- 《美團機器學習實踐》—— 讀後總結機器學習
- Web最佳實踐閱讀總結(1)Web
- Web最佳實踐閱讀總結(2)Web
- 《30天軟體開發 告別瀑布擁抱敏捷》一書 讀後總結敏捷
- 讀《Node Web開發》有感Web
- 值得注意的安全開發知識總結
- golang 後端技術開發必備總結Golang後端
- 提高Web前端開發技能的優化技巧總結!Web前端優化
- 《大話資料結構》讀後總結(七)資料結構
- 《大話資料結構》讀後總結(五)資料結構
- 《大話資料結構》讀後總結(六)資料結構
- 《大話資料結構》讀後總結(八)資料結構
- 《大話資料結構》讀後總結(九)資料結構
- 《大話資料結構》讀後總結(三)資料結構