• web前端安全---读书笔记


    web前端安全---读书笔记

    粗略的看完了Web前端黑客技术揭秘前两章了,由于自身的前端功力不深,当然也是初涉前端的安全问题,所以实话还是有些问题看不太明白的。在豆瓣看到的这本书,名字真心有点很肥主流,所以这本书的名气确实在豆瓣上的评分也不高,挑这本书的原因很大程度是由于它的出版时间是2013年,而有名气的白帽子讲web安全却是2012年出版的,就我目前的感知而言,前端的发展速度极快,很多之前的东西很有可能之后就被淘汰,涉及到安全性就更是了。

     

      第一章介绍了web安全的几个关键点:

     

            浏览器的同源策略

     

      同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。

     

      同不同域呢,同域要求两个站点同协议,同域名,同端口。

     

    域站点http://www.foo.com是否同域

     

     
    https;//www.foo.com 不同域 https和http是不同的协议,https是加密的ssl传输协议,http是超文本传输协议。
    http://foo.com 不同域 域名不同,顶级域和www子域不是一个概念。(顶级域和二级域名的区别,权重什么的会不同的。)
    http://www.foo.com:8080 不同域 端口不同,默认的是80端口。tomcat使用的也是8080端口,当然可以自己配置。
    http://www.foo.com/a/ 同域 同域名,同端口,同协议,就是多了个目录,根目录多个文件夹咯。

     

     

     

     

     

     

     

     

     

     

     

     

     

    关于第三方统计脚本

     

    很多网站都嵌入了。如果第三方的统计脚本被黑客挂马,网站本身就会被危机。这一点,个人用的是Google Analytics,代码是官方生成的,额,应该没什么很大不安因素吧~~:)相对于百度的统计,果断选择了google,只要有个gmail账号,注册,黏贴如下代码到网页呢就可以了。

     

     

    <script>
      (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
      (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
      m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
      })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
     
      ga('create', 'UA-43018678-1', '网址');
      ga('send', 'pageview');
     
    </script>

     

      社会工程学

     

     这个名词倒是看这本书第一次听说,看了这本书还是接触到蛮多的概念名词的。

     

     社会工程学,简称社工,说白了就是“骗”。个人认为传奇点的”骗“也就如盗梦空间什么的了...

     

    常用的社工辅助技巧:Google Hack ,SNS垂直搜索,各种手机的数据集合查询...巴拉巴拉的东东。

     

            SQL注入攻击(关于SQL注入更详细~代码注入

     

    说白了就是一联合查询(个人的数据库好水好水啊唉),以MySql为例,如果用户是通过http;//www.foo.com/user.php?id=1来获取自身的账号信息的,

     

    j加上联合查询语句:

     

    1 union select password 1,1 from users

     

    那么提交请求后,主城的链接的形式就会变成:

     

    http;//www.foo.com/user.php?id=1 union select password 1,1 from users

     

    字后端提交的sql查询语句就会变成:

     

    select username email desc1 from users where id=1 union select password ,1,1 from users

     

    So,user表的password就很可能不安全了。

     

     

    虽然这本还有很多看不懂的地方,以后慢慢滴应该就会看得懂吧唉~路漫漫其修远兮。

     
     
  • 相关阅读:
    CF 1006C Three Parts of the Array【双指针/前缀和/后缀和/二分】
    经验笔记二
    CF 1006B Polycarp's Practice【贪心】
    CF 1003D Coins and Queries【位运算/硬币值都为2的幂/贪心】
    CF 1003C Intense Heat【前缀和/精度/双层暴力枚举】
    CF 1003B Binary String Constructing 【构造/找规律/分类讨论】
    CF 1005C Summarize to the Power of Two 【hash/STL-map】
    CF 1005B Delete from the Left 【模拟数组操作/正难则反】
    CF 1005A Tanya and Stairways 【STL】
    CF 1009A Game Shopping 【双指针/模拟】
  • 原文地址:https://www.cnblogs.com/Leo_wl/p/3255711.html
Copyright © 2020-2023  润新知