彭峰的博客
  文章分类
工具 3 后端 29 云原生 28 中间件 20 数据库 17 SRE 16 前端 12 计算机基础 33 安全 10 Linux 14 成长 1 编程语言 2
安全基础 安全基础
浏览器的同源策略同源策略介绍 同源策略解决的问题:CSRF CSRF(cross-site request forgery) 通过伪装成受信任用户的请求来利用受信任的网站。 CSRF攻防简介 如何防止CSRF攻击防止手段 CSRF自动防御
2021-05-01 安全
安全
安全基础 安全基础
注入攻击注入攻击是应用违背了“数据与代码分离原则的”结果 注入攻击的两个条件 用户能够控制数据的输入 原本要执行的代码,拼接了用户的输入,把数据当做代码执行了SQL注入 要避免Web服务器开启错误回显,将错误信息直接返回 还可以盲注,比如
2021-05-01 安全
安全
权限管理 权限管理
cookie 和 sessioncookie和session的区别 token优势 无状态,可扩展 跨服务器 性能提升 可携带其他信息 跨域 配合移动端 防止CSRF JWT(Json web token) token VS sessi
2021-05-01 安全
安全
安全基础 安全基础
安全三个要素 机密性(Confidentially) 保证数据内容不能泄露 常见手段:加密 完整性(Integrity) 保护数据内容的完整,没有被篡改 常见手段:数字签名 可用性(Availability) 保护资源是“随需可得”
2021-05-01 安全
安全
XSS XSS
XSS简介Cross-Site Scripting(跨站脚本攻击)简称 XSS。攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 本质:恶意代码未
2021-05-01 安全
安全
SSL SSL
SSL(Secure Socket Layer)简介 解决问题 窃听风险,加密机制 篡改风险,校验机制 冒充风险,身份证书 SSL位于应用层和TCP层之间。 使用的的算法 密钥交换算法:DH算法(Diffie-Hellman),R
2021-05-01 安全
Network 安全
HTML5 安全 HTML5 安全
HTML5 安全新的标签HTML5 定义了很多先标签和新事件,可能会带来新的XSS攻击。如果建立一个黑名单的话,则可能不会覆盖到HTML5新增的标签和功能,从而发生XSS iframe 的sandboxHTML5专门为iframe定义新的属
2021-05-01 安全
安全
DDos DDos
DDos简介DDOS攻击指分布式拒绝服务攻击,即处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。 攻击原理 消耗带宽资源:通过大量请求消耗正常的带宽和协议栈
2021-05-01 安全
安全
劫持 劫持
点击劫持ClickJacking(点击劫持)是一种是觉得欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,用户将在不知情的情况下点击透明的iframe页面。 与CSRF一样,都是在用户不
2021-05-01 安全
安全
CSRF CSRF
CSRF 简介Cross Site RequestForgery(跨站点请求伪造),简称CSRF。攻击成功的原因,重要操作的所有参数都可以被攻击者猜测到,只有预测出URL和所有参数和参数值,才能构造一个伪造的请求 浏览器的cookie策略
2021-05-01 安全
安全