超级会员免费看
本文详细介绍了WEB应用的通用安全防护措施,包括Cookie安全、CSRF防护、HTTP协议校验、Webshell防护及插件漏洞防护。Cookie安全通过waf确保即使攻击者获取也无法访问服务器。CSRF防护主要依赖于令牌验证和参照者值检查。HTTP协议校验分为内置和策略校验,防止不符合标准的流量。Webshell防护检测常见木马特征以阻止攻击者控制。插件漏洞防护关注服务器和构建工具的漏洞。最后,盗链防护利用Referer检测算法来防止资源被非法引用。
通用安全防护
Cookie安全防护
cookie:是指某些网站为了辨别用户身份,进行session跟踪,而存储在用户本地终端上的数据(通常经过加密)。
cookie的一些典型应用:1、登录某些网站时还留存之前的登录信息,再一次进入网站时保留用户信息简化登录手续。2、另一个应用如购物车,用户在挑选多个商品后,添加到购物车,最后在付款时提取信息。
cookie还分为会话性与持久性,会话性Cookie,仅保存在客户端内存中,并在用户关闭浏览器时失效;持久性Cookie会保存在用户的硬盘中,直至生存期到或用户直接在网页中单击“注销”等按钮结束会话时才会失效。
因此如此重要的cookie被攻击者拿到后,就会造成极大的隐患。waf的cookie安全防护功能模块会通过一系列办法来保障攻击者即便拿到cookie也无法正常访问服务器。
CSRF安全防护
CSRF又称“跨站请求伪造”,其本质可以用一句话概括攻击者在受害者不知情的情况下,利用受害者合法身份,向服务器发送恶意请求,达到非法目的。这种非法目的一般有以你的名义发送邮件、发消息、盗取你的账号、甚至于购买商品。
首先,我们先来看看服务器是如何识别用户身份的,就是上述我们所讲的cookie,
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
