腾讯大牛教你web前后端漏洞分析与防御-点击劫持,传输安全
来源:互联网 发布:出版社待遇知乎 编辑:程序博客网 时间:2024/06/05 06:39
点击劫持,clickjacking,也被称为UI-覆盖攻击。
防止点击劫持
- JavaScript禁止内嵌
- 没有带frame的页面
- 带frame的页面
- 没有带frame的页面
不过H5新增属性,sandbox可以金庸脚本的运行
sandbox="allow-forms"
- X-FRAME-OPTIONS禁止内嵌
头设置ctx.set('X-FRAME-OPTIONS','DENY');ALLOW-FORM .....
- 其他辅助:加验证码
- 当小偷的投入比利益更大的,估计没有小偷会这样干。
- PHP:
header('X-FRAME-OPTIONS','DENY')
;
传输安全问题
HTTP传输明文带来的窃听
- 因为localhost是环形链路,所有使用AnyProxy代理
anyproxy
HTTP窃听
- 用户名密码
- 传输敏感信息
- 个人资料(银行卡……)
HTTP篡改
- 插入广告
- 重定向网站
- 无法防御XSS和CSRF
- 运营商和局域网劫持
TLS(SSL)加密
然而,
中间人攻击
如何确认服务器身份?
- CA(证书颁发机构)
- 前提:
- 证书无法伪造
- 证书私钥不能被泄露
- 域名管理权不能泄露
- CA坚守原则(一定要验证证书,不能乱发证书)
Let’s Encrypt的最大的意义就是推动基础DV HTTPS证书的普及,换句话说就是,推动HTTPS的普及。
查看证书是否受信任
不要随意添加信任的根证书
Mac keychaWin mmc
- 验证返回指定网站内容(示例)
- 设置DNS记录(对域名有管理权)
抓取不到有益的信息
线上部署
vi /etc/nginx/conf.dnginx -s reload使用自动脚本curl https://get.acme.sh | sh./acme.sh --issue -d 域名 --webroot /data/web/特定文件夹
窃听失败
阅读全文
0 0
- 腾讯大牛教你web前后端漏洞分析与防御-点击劫持,传输安全
- 腾讯大牛教你web前后端漏洞分析与防御-密码安全
- 腾讯大牛教你web前后端漏洞分析与防御-XSS
- 腾讯大牛教你web前后端漏洞分析与防御-CSRF
- 腾讯大牛教你web前后端漏洞分析与防御-信息泄露
- 腾讯大牛教你web前后端漏洞分析与防御-Cookie
- 腾讯大牛教你web前后端漏洞分析与防御-接入层(SQL)注入
- 腾讯大牛教你web前后端漏洞分析与防御-接入层上传问题
- web安全 点击劫持 ClickJacking
- 点击劫持和防御
- web安全学习笔记之-点击劫持
- Web安全之点击劫持(ClickJacking)
- Web安全之点击劫持(ClickJacking)
- Web安全与防御措施
- js 前后端通信与安全
- 【Web安全与防御】简析Sql注入与防御措施
- 【Web安全与防御】简析Sql注入与防御措施
- Web安全与防御视频教程分享
- 快速幂
- Qt的label显示OpenCV的Mat图像
- ubuntu pppoe自动上网设置 及导致的路由器联网问题
- 一个简单的SpringMVC需要哪些jar包[Spring4]
- 31、互斥锁与进程间通信
- 腾讯大牛教你web前后端漏洞分析与防御-点击劫持,传输安全
- k-近邻算法
- RxJava + Retrofit + OKHttp + RxLifecycle进一步封装网络
- (HYSBZ
- Java实现简单二维码制作
- YAML
- 【leetcode】第55题 Jump Game 题目+解析+代码
- ICMP&&IP&&ARP
- spring + spring mvc + mybatis 整合框架