【原创】本文主要简述前端web安全知识
文件上传
后端服务器未对文件进行校验和过滤,上传asp/aspx/jsp/php等脚本文件(webshell)
解决方式:
1.前端过滤文件类型(攻击者可以直接绕过,开发者工具改代码,黑名单绕过)
2.后端过滤文件类型(如果是通过mime(contentType)类型判断,可抓包修改contentType绕过,黑名单绕过)
图片上传
图片文件中可能存在木马代码,然后在后端的使用该文件的时候(文件包含),比如 include (img_url),会执行包含在文件里面的木马,存在安全风险
XSS漏洞
存储型:表单入口不过滤,恶意用户插入脚本,提交到数据库,每个用户都有可能被劫持
反射型/Dom型:表单入口恶意提交脚本代码,页面重定向的链接带有提交的恶意脚本,能回显执行(没有过滤地址URL),获取用户信息
钓鱼
1.假官网 通过各种方式让用户误以为是可靠链接;
2.攻击真实网站,形成存储型XSS,用户访问即跳转到(或其他方式)钓鱼登陆界面;
CSRF/XSRF攻击
下图展示攻击方式,
image.png
这种攻击方式在现代浏览器中概率已经很小了!
网友评论