梦ä¸æ¢äºæ³( å¦ä¹ ç¼ç é)
è¡å¨èµ·æ¥ï¼æ´»å¨å½ä¸
ç® å½CONTENT
以ä¸æ¯
ç½ç»å®å
¨
ç¸å
³çæç«
-
XSSæ¼æ´ XSSï¼è·¨ç«èæ¬æ»å»ï¼æ¯éè¿å¨ç½é¡µæ³¨å ¥æ¶æèæ¬ï¼å½ç¨æ·è®¿é®æ¶æ§è¡çªåæ°æ®æå®æ½æ»å»çæ¼æ´ãéæç«ç¹ä¸åå½±åãæ»å»ä¸»è¦åä¸ç±»ï¼åå°åï¼éæä¹ ï¼éè¿URLåæ°åå°æ§è¡ï¼ãåå¨åï¼æä¹ ï¼æ¶æ代ç åäºæå¡å¨ï¼ãDOMåï¼å®¢æ·ç«¯ç´æ¥æä½DOMæ§è¡ï¼ãå±å®³å æ¬çåè´¦å·ãæ§å¶æ°æ®ã篡æ¹é¡µé¢ãæ马çãé²å¾¡é综åæªæ½ï¼è¾å ¥è¿æ»¤ãè¾åºè½¬ä¹ã设置HttpOnlyï¼é²JS读åCookieï¼ãæå®å符éãéªè¯è·³è½¬URLçã -
CSRFæ¼æ´ CSRFï¼è·¨ç«è¯·æ±ä¼ªé ï¼æ¯æ»å»è å©ç¨ç¨æ·å·²ç»å½ä¿¡ä»»ç½ç«çCookieï¼ä¼ªè£ å ¶èº«ä»½åç®æ ç½ç«åéæ¶æ请æ±çæ»å»ãå ¶æåå ³é®å¨äºè¯·æ±åæ°å¯è¢«é¢æµï¼ä¸ç¨æ·å¨æªéåºä¿¡ä»»ç½ç«æ¶è®¿é®äºå±é©ç½ç«ãæ»å»åGETåï¼éè¿`<img>`çæ ç¾åèµ·ï¼åPOSTåï¼å©ç¨è¡¨åæJSèªå¨æ交ï¼ãé²å¾¡æªæ½å æ¬ï¼æ·»å éªè¯ç 强å¶ç¨æ·äº¤äºï¼å¨è¯·æ±ä¸åµå ¥éæºToken并éªè¯ï¼URLåæ°æHTTP头ï¼ï¼æ ¡éªHTTP Refererå段确ä¿è¯·æ±æ¥æºåæ³ãå ¶ä¸Tokenæºå¶æ¯æ ¸å¿é²å¾¡æ段ï¼éä¿è¯å ¶éæºæ§ä¸ä¿å¯æ§ã
-
TLS å¦ä½é²æ¢ä¸é´äººæ»å»ï¼ TLSéè¿å å¯å身份éªè¯æºå¶ææé²å¾¡ä¸é´äººæ»å»ãå ¶ç»å对称ä¸é对称å å¯ææ¯ï¼å¨æ¡æè¿ç¨ä¸éªè¯æå¡å¨æ°åè¯ä¹¦ï¼ç¡®ä¿éä¿¡åæ¹èº«ä»½çå®æ§ï¼å¹¶ååçæ临æ¶ä¼è¯å¯é¥ãå®ç¾ååä¿å¯ï¼PFSï¼åè½ä½¿æ¯ä¸ªä¼è¯ä½¿ç¨ç¬ç«å¯é¥ï¼å³ä½¿ç§é¥æ³é²ä¹æ æ³è§£å¯åå²éä¿¡ãDiffie-Hellmançå®å ¨å¯é¥äº¤æ¢æ¹æ³è¿ä¸æ¥ä¿éå¯é¥ååè¿ç¨ä¸è¢«çªå¬ï¼ä»èå®ç°æ°æ®æºå¯æ§ãå®æ´æ§å身份认è¯ï¼é»ææ»å»è æ¦æªæ篡æ¹éä¿¡çè·¯å¾ã
