Web
该标签下有 7 篇文章
CORS 是什么 — 原理,以及配置错误(CORS misconfiguration)会引发什么
CORS 是浏览器用来控制「其他源的 JS 能否读取自己 API 响应」的机制。配置错误=反射任意 Origin,或把 Access-Control-Allow-Origin:* 与认证信息同时使用,会导致第三方网站读取到已登录数据。核心防御是采用白名单方式、不要不加判断地反射 Origin、默认拒绝。
会话固定(Session Fixation)是什么 — 让用户用攻击者准备好的 ID 登录的漏洞
会话固定是攻击者预先准备一个已知的 session ID 让受害者使用,待其登录后用该 ID 冒充受害者的攻击。关键防御是『每次登录(以及权限变化)时都重新生成 session ID』。禁止从 URL 接收 ID,并用 HttpOnly/Secure/SameSite 加固 Cookie。
什么是点击劫持 — 用透明陷阱让你按下「看不见的按钮」的攻击
点击劫持是用透明的 iframe 把自己的站点叠加到另一个站点上,诱导用户执行非本意操作(转账、修改设置、同意授权)的攻击。核心防御是「不让自己的站点被嵌入到他站的框架里」=CSP frame-ancestors 与 X-Frame-Options。
什么是开放重定向(open redirect)——以受信任的 URL 为跳板,被转到别的站点
开放重定向是指可以在 ?next= 等跳转目标参数里塞入外部 URL,从而以受信任域名为跳板把用户转到别的站点的漏洞。它会成为 phishing 的基础。真正的防御是「跳转目标不接收外部 URL/只允许允许列表或相对路径」。
路径遍历是什么 — 用 ../ 读取服务器上「本不该交出的文件」的漏洞
路径遍历是一种在文件名输入中混入 ../,从而逃出基准目录、读写 .env、配置、密钥等的漏洞。关键防御是「不把用户输入直接用作文件路径」「先规范化再将其限制在基准目录内」。
CSRF(跨站请求伪造)是什么 — 让登录中的用户「被擅自操作」的攻击
CSRF 是一种擅自让登录中用户的浏览器发出「并非本人本意的操作」的攻击,它滥用了浏览器自动发送 Cookie 的特性。关键防御是 CSRF Token+SameSite Cookie。不用 GET 来改变状态同样重要。
XSS(跨站脚本)是什么 — 让代码在他人浏览器中被擅自执行的漏洞
XSS 是一种让攻击者准备的字符串「作为脚本」在另一名用户的浏览器中被执行的漏洞,直接导致会话被窃取与冒充。真正关键的防御是「输出时转义」。不破坏框架的自动转义是最有效的对策。