web 安全杂谈

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了web 安全杂谈相关的知识,希望对你有一定的参考价值。

  以前写过一篇关于session、cookie的博文,都是简单的介绍。不过session和cookie和网络安全可有着密切的关系。

  今天主要从这几个方面总结下最近学到的东西:

    1. session 两种类型

    2. session 存储方式; session 和 cookie 的关系,禁用cookie; session 共享

    3. session 覆盖

    4. xss 和 crsf

 

  一. session 和 flash session,直接上图:

    

  二. 这个请看 http://www.cnblogs.com/melody68/p/5004828.html,这里就不再赘述;

 

  三. 举个实例:

    网站找回密码的流程是 填写账号->验证身份->修改密码/找回密码,即:

    第一步填写账号-用session或cookie记录用户账号
    第二步验证身份-回答一些问题 存储是否正确 正确跳第三部
    第三步修改密码-根据第一步的账号和第二步的验证结果进行密码重置操作

    这样就存在一个问题,我用自己的账号aaaa完成前两步(不再进行下去), 然后再用该网站的其它用户bbbb完成第一步,接下来我就可以修改bbbb的密码了。

    解决方案自己想哦。

  四. xss 和 crsf 的介绍就不用说了,网上到处都是。

    xss (cross site script) - 意思是这个脚本不是该网站的,但是可以执行。

    csrf(Cross-site request forgery) - 意思是伪造用户的请求。

    xss 是用户自己操作的,csrf 是冒用用户操作的,有两篇文章写的很好:

    http://coolshell.cn/articles/4914.html

    https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/

    防范(主要讲下个人方面):

        xss (cookie)  不要让你的请求可以随便被获取 -- 不要随便连免费wifi

      csrf   不要随便点别人给你的链接

  注:分析web问题的时候一般要从这三步分析:输入 业务处理 输出

 

 

 

    

以上是关于web 安全杂谈的主要内容,如果未能解决你的问题,请参考以下文章

PHP代码安全杂谈

读书笔记安卓学习笔记第一篇——个人杂谈

[技术杂谈][原创]使用ffmpeg+easydarwin搭建临时访问的公网RTSP流

HTTPS基础杂谈

社工库杂谈

职场杂谈售前工程师岗位的理解杂谈