共勉
"诸君离学校而去了。在社会上立身的困难,恐怕比在学校里求学还要加甚。若非立志奋斗,则以前所受的教育,反足以增加人生的苦恼,或转为堕落的工具。这是诸君所当特别注意的。事业的成功,须经过长时间的辛苦艰难——成功的代价,走过了许多荆棘的路,方才能寻获康庄大道。立志是砍荆棘斧斤,奋斗是劳力。万不可希望以最少的劳力,获最大的成功。" -- 蒋梦麟
Knight's Blog
滴滴海浪技术主管, 前百度资深研发工程师,现居上海。 擅长于大规模的系统平台服务架构。在

- 亿级别搜索平台(sov5.cn)
- 大规模分布式爬虫
- 中间件架设(disconf,CanalX)
- 广告平台(百度联盟广告)
- 租车平台(滴滴租车)
- 语言招聘平台(51tra.com)
- 内容平台(100weidu.com)
- 社区平台(python88.com)
- 资源下载平台(misou.com)
- 计算机图形图像技术(一篇一作)
- 机器学习(一篇一作)

等领域具有颇有经验。
联系方式: knightliao AT gmail.com
联系
Knight's Blog » 工作

网络安全CSRF和XSS攻击小析

2014-07-31 15:58

最近研究了下Web安全的问题,对于重要的网站,需要重点考虑以下两种攻击方式:

CSRF攻击

基本原理就是 你登录了A网站后,当你访问B网站时,利用你在A网站的信任关系,对你在A网站上的数据进行攻击。

比如,

你登录了A网站后,我在B网站上放一个Form表单,表单的目标地址指向A网站,当你在B网站提交表单后,你以为是在B网站进行操作,实际上我已经将数据发送到A网站上,从而修改你的A网站数据。

更加详细的解释及解决方案可见:http://django-china.cn/topic/580/

我们百度联盟系的业务网站均是前后端分离的(采用Ajax请求),由于 Ajax请求在浏览器上均是无法进行跨域请求的,因此,在浏览器上,我们的站点是没有CSRF攻击这种问题存在的。但是,如果使用非浏览器(例如采用路由器监听方式来进行攻击,就可以实现CSRF攻击)

XSS攻击

基本原理 就是 将一段JS代码放在网站A上,利用网站A不过滤JS代码的漏洞,让这段代码在网站A上执行起来,这段代码JS可以做任何事情,危害非常大。

攻击的JS代码可以是远程的,也可以是明文保存在网站A上的。

最近比较出名的有 新浪微博的XSS攻击事件:http://techv5.com/topic/701/

他利用的漏洞是,新浪微博的某个URL里可以包含JS代码,并且,他会将此代码原封不动的放在页面上,这样就可以成功执行此段JS。

983 次点击