企业网站该怎么做,北京软件开发公司有几家,网站建设noajt,单页面 网站怎么做的数据参考#xff1a;CISP官方
目录
Web应用基础浏览器所面临的安全威胁养成良好的Web浏览安全意识如何安全使用浏览器
一、Web应用基础
1、Web应用的基本概念
Web ( World wide Web) 也称为万维网
脱离单机Web应用在互联网上占据了及其重要的地位Web应用的发展#xf…数据参考CISP官方
目录
Web应用基础浏览器所面临的安全威胁养成良好的Web浏览安全意识如何安全使用浏览器
一、Web应用基础
1、Web应用的基本概念
Web ( World wide Web) 也称为万维网
脱离单机Web应用在互联网上占据了及其重要的地位Web应用的发展Web1.0--Web2.0--Web3.0--...... Web 1.0Web 1.0时代是Web的初期阶段主要以静态网页为主用户只能 passively 地浏览和获取信息无法主动参与内容的创建和修改。 Web 2.0Web 2.0标志着互联网的进一步发展它强调用户参与和互动。用户可以通过社交媒体、博客、在线论坛等平台创作和分享内容形成了一个更加开放和协作的网络环境。 Web 3.0Web 3.0是对未来Web发展的一种展望也被称为“语义Web”。它旨在将互联网上的大量数据整合起来并利用人工智能和机器学习等技术为用户提供更智能、个性化的服务和体验。Web 3.0的目标是实现更加智能化的互联网让计算机能够理解和处理更多的信息。
需要注意的是Web 3.0目前仍处于发展阶段尚未完全实现。随着科技的不断进步我们可能会看到更多新的Web应用和技术的出现。 2、Web应用系统的体系架构
广泛使用的是浏览器/服务器架构(B/S) 3、Web应用系统安全的突破点
Web安全问题越来越突出浏览器安全问题却是最常见的安全突破点。 二、浏览器所面临的安全威胁
1、XSS跨站脚本攻击
基本概念
跨站脚本攻击是一种常见的网络安全威胁它利用了网站在处理用户输入时的漏洞。攻击者可以通过在受影响的网页中插入恶意脚本然后将这些脚本传递给其他访问该网页的用户。脚本包括 Javascript、Java、 Vbscript、 Activex、Fash甚至是普通的HTML语句 跨站脚本攻击的目标是绕过网站的安全机制将恶意脚本注入到网页中并在其他用户浏览该网页时执行。恶意脚本可以执行各种操作如窃取用户的敏感信息、劫持用户会话、修改网页内容等。
攻击原理
反射型在反射型攻击中攻击者通过构造一个恶意的URL将包含恶意脚本的参数发送给目标用户。当用户访问包含恶意代码的URL时网站会从URL中提取参数并将其插入到响应页面中恶意脚本随后被执行。这种攻击类型一般需要用户点击一个特定的恶意链接才会触发。存储型在存储型攻击中攻击者将恶意脚本或恶意数据存储到目标网站的数据库或其他存储介质中。当其他用户访问包含恶意脚本的网页时恶意脚本会从服务器上提取并执行。存储型攻击可以对多个用户造成危害而不仅仅是单个受害者。DOM型在DOM型攻击中攻击者利用网页的客户端脚本通常是JavaScript处理代码时的漏洞发起攻击。攻击者通过操纵文档对象模型DOM的结构和属性使得恶意脚本被执行。与反射型和存储型不同DOM型攻击并不依赖于服务器的响应而是利用客户端脚本解析和执行过程中的漏洞。
DB是DOM-based XSS的缩写指的是DOM型跨站脚本攻击 攻击流程
反射型XSS
攻击者构造包含恶意脚本的链接。攻击者将恶意链接发送给目标用户。用户点击恶意链接。用户的浏览器向服务器发送请求将恶意脚本作为参数包含在请求中。服务器从请求中获取恶意脚本参数并将其反射到响应结果中。响应结果被发送回用户的浏览器。用户的浏览器解析响应结果并执行其中的恶意脚本。 存储型XSS
攻击者将恶意脚本代码上传到目标网站的数据库中。用户访问包含恶意脚本的页面。从数据库中检索到的恶意脚本被包含在响应结果中。用户的浏览器解析响应结果并执行其中的恶意脚本。
DOM型XSS
攻击者通过DOM操作动态插入恶意脚本代码。用户触发了包含恶意脚本的事件例如点击按钮或提交表单。修改后的DOM结构被浏览器重新解析和执行。浏览器执行恶意脚本并导致攻击发生。
危害 执行命令恶意脚本可以在用户的浏览器环境中执行任意 JavaScript 代码可能导致攻击者能够执行非授权的操作例如获取敏感信息、修改页面内容或重定向用户到其他恶意网站。 劫持用户会话通过劫持用户会话攻击者可以伪造用户身份访问用户的账户并在其名义下进行各种活动例如发表言论、修改个人资料、进行金融交易等。 插入恶意内容攻击者可以通过XSS攻击在受影响网站上插入恶意内容例如广告、恶意链接、虚假表单等这可能欺骗用户、引导用户点击恶意链接或泄露敏感信息。 重定向用户访问攻击者可以利用XSS漏洞将用户重定向到其他恶意网站这可能涉及钓鱼攻击、传播恶意软件或进一步诱导用户暴露个人敏感信息。 窃取用户会话信息通过XSS攻击攻击者可以窃取用户的会话信息例如会话ID、Cookie数据等从而获取用户的权限和身份验证凭据。 隐私信息攻击者可以通过注入恶意脚本窃取用户的敏感信息包括个人身份信息、信用卡号码、密码等。这些信息可能被用于非法目的例如身份盗窃、欺诈活动等。 下载蠕虫木马到受害者计算机一些高级的XSS攻击可能会导致在用户计算机上下载和执行恶意软件例如蠕虫、木马或其他恶意程序从而使攻击者完全控制受害者计算机。
2、跨站请求伪造 (CSRF
基础概念
跨站请求伪造是一种以用户身份在当前已经登录的Web应用程序上执行非用户本意操作的攻击方法。在2017年发布的新版 OWASP Top10中CSRF排名第8
攻击原理
CSRF跨站请求伪造是一种以用户身份进行冒充进行正常操作的攻击方式而不是直接针对服务器的攻击。这种攻击通常发生在服务端没有对请求进行严格过滤和验证的情况下。
CSRF攻击的一般流程如下 受害者登录受害者在目标网站上进行登录并且会话凭证如Cookie被存储在浏览器中。 构造恶意页面或链接攻击者创建一个恶意网页或构造恶意链接并诱使受害者访问。 伪造请求恶意页面中包含了针对目标网站的请求该请求通常是一个非常规的操作如修改密码、发起资金转账等攻击者通过JavaScript或其他方式自动触发这个请求。 发送请求当受害者访问恶意页面时其中包含的请求会在受害者的浏览器中被执行。由于受害者已登录目标网站并具有有效的会话凭证浏览器会自动携带这些凭证发送请求到目标网站目标网站无法分辨此请求是否为受害者本人发送的。 完成攻击目标网站接收到请求后会以为是受害者自己发起的合法请求并执行相应的操作导致攻击成功。
需要注意的是攻击者需要找到适合的漏洞和目标网站才能成功进行CSRF攻击。而开发人员可以通过实施防御措施来减少CSRF攻击的成功率保护用户和网站的安全。 危害
修改用户信息
修改个人信息修改发货地址
执行恶意操作
修改密码伪造身份诈骗
3、网页挂马
基础概念
网页挂马是攻击者构造携带木马程序的网页该网页在被浏览器访问时利用系统漏洞、浏览器漏洞或用户缺乏安全意识等问题将木马下载到用户的系统中并执行从而实现对用户的系统进行攻击。 攻击原理 网页挂马 - 常见途径 利用操作系统和浏览器漏洞攻击者通过发现操作系统或浏览器中的漏洞利用这些漏洞将恶意代码注入到网页中。当用户访问带有恶意代码的网页时恶意代码会下载到用户的计算机并执行。 利用第三方组件的漏洞除了操作系统和浏览器本身的漏洞攻击者还可以利用网页中引用的第三方组件如插件、扩展等存在的漏洞进行攻击。这些漏洞可能存在于Flash、Java、Adobe Reader等常用组件中。 社会工程学手段攻击者可能通过钓鱼邮件、欺骗性广告或诱导用户点击恶意链接等社会工程学手段引导用户访问被植入恶意代码的网页。
网页挂马 - 危害
盗取个人信息改写磁盘对计算机系统进行破坏
4、网络钓鱼
基本概念
网络钓鱼Phishing是攻击者利用欺骗性的电子邮件、短信、社交媒体消息等方式诱导用户点击链接或提供个人敏感信息。 网络钓鱼 - 主要手法
发送电子邮件以虚假信息引诱用户中圈套建立假冒网上银行、网上证券网站骗取用户帐号密码实施盗窃利用虚假的电子商务进行诈骗利用手机短信、QQ、微信进行各种各样的 “网络钓鱼”利用木马和黑客技术窃取用户信息后实施盗窃利用用户弱口令等漏洞破解猜测用户帐号和密码
网络钓鱼 - 攻击媒介占比 在2020年第一季度期间由于疫情原因网络钓鱼攻击越发严重这是因为疫情导致了更多人在家中使用互联网并依赖于电子邮件和在线平台进行工作、学习和社交。攻击者利用这个机会加大了网络钓鱼攻击的规模和频率。 Ema电子邮件攻击占18%电子邮件是最常见的传播网络钓鱼攻击的方式之一。攻击者发送仿冒的电子邮件冒充合法的组织或个人以诱导受害者点击恶意链接、下载恶意附件或提供个人敏感信息。 Web网页攻击占59%通过伪造的网站或恶意注入恶意代码等方式攻击者利用Web平台进行网络钓鱼攻击。当用户访问被伪造的网站时他们可能会被要求输入个人信息或进行其他欺骗性操作。 移动网络攻击占23%随着智能手机和移动应用的普及攻击者也越来越多地利用移动平台进行网络钓鱼攻击。这包括通过仿冒的移动应用、短信或社交媒体消息等方式引诱用户点击恶意链接或提供个人敏感信息。
网络钓鱼 - 案例分析
2018年美国审计署被转走88.8万美元这些网站似曾相识 www.1cbc.com www.1enove.com ......发布虚假的商品销售信息木马盗走账号密码银行密码被弱口令破解
三、养成良好的Web浏览安全意识
1、为什么要养成良好的Web浏览安全意识
75%的信息安全攻击都发生在Web应用层而非网络层面上在Web应用所面临的安全隐患中浏览器安全问题却是最常见的安全突破点。
2、怎样养成良好的Web浏览的安全意识
关注web浏览过程中的隐私保护问题在使用Web浏览器时关注网站的隐私政策和数据收集做法。选择信任度高的网站并尽量避免向不可信的网站提供个人信息。慎用密码自动保存功能不建议使用浏览器的密码自动保存功能因为这可能会导致密码遭到泄露。相反使用密码管理器来保存和管理密码确保密码的安全性。Web浏览中的最小特权原则在浏览网页时给予浏览器和插件的权限应该最小化。只允许必要的权限以减少潜在的安全风险。确保登录口令安全使用强密码来保护您的账户安全并定期更改密码。避免使用容易猜测的密码同时也不要在不安全的网络环境下登录账户。不明链接访问要确认在点击或访问不明链接之前先进行核实和确认。避免点击不可信的链接以防止遭受钓鱼、恶意软件或诈骗攻击。关注网站备案信息在访问网站时可以查看网站的备案信息。这可以帮助您判断网站的合法性和可信度。 四、如何安全使用浏览器
1、清除浏览数据
浏览器缓存数据
浏览记录页面信息下载记录cookie用户名/密码和其他登录数据自动填充表单数据网站设置托管应用数据 应养成定期清除浏览记录的习惯
2、防止跟踪
什么是 cookie?
Cookie是浏览器使用的文本格式的小文件用于存储用户信息和用户偏好等信息。一般在在浏览器的设置中可以看到所访问网站的 CookieCookie通常是加密的 cookie的作用
为了证明我是我验证身份http协议附加状态通过附加状态服务器可以在多个请求之间维护特定客户端的状态信息。根本原因是为了解决ht协议无状态无连接问题
总的来说Cookie在网页浏览和交互中起到证明身份、实现状态管理、个性化设置、数据分析和推广等作用并解决了HTTP协议无状态无连接的问题。然而需要注意隐私和安全方面的考虑遵守相关法规和最佳实践。 cookie的安全隐患 Cookie欺骗攻击者可以通过伪造Cookie来冒充其他用户身份。这可以通过盗取其他用户的Cookie信息或者手动构造一个合法的Cookie来实现。一旦攻击者获得有效的Cookie他们就可以进入被欺骗用户的账户执行未经授权的操作。 Cookie篡改攻击者可以修改Cookie的内容以获取未经授权的访问权限或者更改用户的设置和偏好。通过截获和修改传输的Cookie数据攻击者可以篡改其值例如修改用户ID、角色、权限等从而获得更高的权限或者执行恶意操作。
浏览器中防止跟踪的安全设置
无痕模式下阻止第三方 Cookie cookie篡改退出时清除 Cookie 及网站数据设置浏览器的 “不跟踪请求设置网站设置”中的选项控制网站的权限 3、避免自动口令填充
浏览器的自动填充功能可以保存用户输入的登录口令计算机不是安全可控则使用自动填充功能会带来登录信息泄露的风险较为重要的网站的账号和口令尽量不要设置自动填充更不要保存到云端可以管理自动填充的账号和口令 4、慎用代理服务器
代理服务器访问模式 代理服务器访问模式的安全隐患
在代理模式下用户的访问信息都需要通过代理服务器进行处理如果对代理服务器的安全性无法保证应尽量避免使用。
