前端面试被问到网络安全怎么办?7 种前端安全攻击大剖析!
最近有个同学面试的时候被问到了特殊多 网络安全 相关的问题:https://img-blog.csdnimg.cn/img_convert/4433e87d45cec7dfafe48a80f5b7fa1b.webp?x-oss-process=image/format,png
对于我们很多开发者来说,写代码一般都会只思量业务,对于安全方面的问题确实不会过多思量。所以一旦面试被问到安全相关的问题,那么不知道如何回答了。
所以说,咱们本日这篇文章就专门来说一下:前端常见的安全攻击方式、原理、以及如何防护!
【逐一资助安全学习,所有资源获取处逐一】
①网络安全学习门路
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备册本
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题剖析
01:跨站脚本攻击(XSS)
跨站点脚本攻击(XSS)是最常见的网络共计之一。在 XSS 攻击中,攻击者将恶意客户端脚本注入受信托的网站,然后在用户的欣赏器中执行。
XSS 攻击的原因是什么?
https://img-blog.csdnimg.cn/img_convert/59cc822d50825e2ebf708d7a63174977.webp?x-oss-process=image/format,png
XSS 攻击的主要原因之一是在将用户天生的输入出如今页面上。例如,攻击者大概能够使用 JavaScript 注入恶意代码,并且该代码可以在你的应用出现 DOM 时执行。
此恶意代码最终大概会访问并窃取 用户Token、cookie 以及欣赏器中存储的其他敏感信息。
如何防止 XSS 攻击?
防止 XSS 攻击并不困难。
可以从三个部分举行思考
[*]确保验证和清理允许用户在必要时插入数据和编码输出的表单、输入字段。
[*]实施内容安全计谋 (CSP) 以限制加载的资源和脚本。
[*]使用 Vue 和 React 等框架,它们具有针对跨站点脚本攻击的内置预防机制。
02:SQL注入
SQL 注入是一种非常危险的攻击方式,并且已经存在很长一段时间了。攻击利用数据库查询以获得未经授权的数据库访问,以执行恶意活动,例如破坏数据库或窃取敏感数据。
SQL注入的原理是什么?
https://img-blog.csdnimg.cn/img_convert/47d4a16dfe1c1702cb7b75ae83090de0.webp?x-oss-process=image/format,png
简而言之,SQL 注入让攻击者可以从前端执行 SQL 查询。这大概会导致破坏性操作,从而获取你数据库中的信息!
如何防止 SQL 注入?
防止 SQL 注入的计谋分为两部分:
[*]起首,你需要确保前端输入字段经过精确验证和处理。防止用户在输入的字段中插入恶意代码。
[*]验证前端后,清理后端收到的数据也很紧张。后端不要信托前端输入的任何数据,由于任何人都可以获取你的 API 端点并开始发送恶意输入。因此,后端也需要举行验证。别的,利用Burp Scanner 、 sqlmap、jSQL Injection和Invicti等工具来检测应用程序中潜在的 SQL 攻击和相关漏洞。
03:跨站请求伪造(CSRF)
跨站点请求伪造 (CSRF) 是一种前端安全攻击,它通过伪造的形式来执行 你本来不盼望执行的操作。
跨站请求伪造的原理是什么?
https://img-blog.csdnimg.cn/img_convert/8c1813707bb23b4694af24d37f8093ef.webp?x-oss-process=image/format,png
通过伪装的表单、链接或按钮,用于更改用户根据、删除或利用敏感数据。
如何防止 跨站请求伪造(CSRF)
防止 CSRF 攻击的最简单方法之一是使用从服务器天生的 CSRF 令牌。你可以与客户端共享这些令牌,以便后端可以在收到的每个请求中检查令牌并验证其真实性。因此,假如客户端无法提供准确的令牌,你的服务器可以拒绝请求的操作。
别的,可以利用 .NET、Joomla、Spring (Spring Security) 和 Ruby on Rails 等框架的内置 CSRF 支持来防止此类攻击。
04:中间人攻击
中间人 (MitM) 攻击迫使攻击者拦截和利用在两方之间传输的信息
中间人攻击的原理是什么?
https://img-blog.csdnimg.cn/img_convert/d395b9e4b390f4344642511b2b53b3a5.webp?x-oss-process=image/format,png
当攻击者利用不安全的通信通道(通常通过公共 WiFi)时,就会发生这些攻击。这种攻击的受害者不会觉得本身受到了攻击,由于他们认为本身正在与服务器举行完全正常且安全的对话,而他们共享的信息在此过程中遭到监视或更改。
例如:你毗连了一个 wifi 本来请求 lgdsunday.club 的地址,但是却被这个 wifi 拦截署理(有点像 devServer 署理请求的感觉)
如何防止中间人攻击
主要有三步:
[*]使用安全的互联网毗连并注销不再使用的应用程序。
[*]不要毗连到你不知道的网络。例如,不要毗连到咖啡馆提供的免费 WiFi。
[*]使用 HTTPS 和 TLS 等安全通信协议对传输中的所有数据举行加密。
05:点击挟制
点击挟制(又名 — UI 纠正攻击)是一种诱骗机制,它会诱骗用户点击与他们认为完全不同的内容。
点击挟制的原理是什么?
https://img-blog.csdnimg.cn/img_convert/0cd071116353fcdba3b4b8bce5d1b9dd.webp?x-oss-process=image/format,png
如图所示,它将埋伏元素覆盖在网站上正当可点击组件的顶部。在这种环境下,用户实际上点击了一个无意的元素,这大概会在未经他们同意的环境下触发攻击者的期望操作(比如转账)等意外操作。
如何防止点击挟制
为了减轻点击挟制攻击的潜在风险,可以使用的一种机制是使用X-Frame-Options标头,它可以确保你的网站不会嵌入到其他网站或 IFrame 中。
06:安全配置错误攻击
应用程序的安全配置错误问题通常是由不精确的设置、默认值和过期的配置引起的,这些问题大概导致攻击者利用的漏洞举行攻击。
安全配置错误攻击的原理是什么?
https://img-blog.csdnimg.cn/img_convert/9e0fcf4b10029987c7a135aaf44876ca.webp?x-oss-process=image/format,png
例如,在某些环境下,启用目次列表大概会泄露敏感信息,密码和密钥不会更新并保存为默认值,并且会暴露错误处理信息。
如何防止安全配置错误攻击
[*]始终确保更新使用的服务的默认密钥和密码,并定期执行配置审核。
[*]定期检查安全设置还可以资助低沉大概存在安全配置错误或过期配置漏洞的风险。
[*]对于具有不同根据的雷同配置的生产、开发和测试环境举行主动化构建和摆设流程。
07:依靠性利用
前端应用程序由许多第三方库组成,用于使开发职员的工作更加轻松。但开发职员广泛忽视的是,这些库有时大概存在安全漏洞。
依靠性利用的原理是什么?
https://img-blog.csdnimg.cn/img_convert/78e3290075a7cdb52dfbd2c94370a0c9.webp?x-oss-process=image/format,png
例如,xxxxx 这个依靠库存在一个巨大的漏洞,允许攻击者执行远程代码。因此,任何使用 xxxxx 的应用程序都成为此攻击的受害者。
我印象中有个库之前出现过 主动作恶 的环境,但是具体忘记是哪个库了。有知道的小同伴,可以给我发消息哈
如何防止依靠性利用
这个没有太好的防范方式,只能是使用广泛使用且维护适当的可靠且经过社区测试的库。
除此之外,最好可以定期审核、依靠项更新和使用漏洞扫描工具举行检查。
黑客&网络安全如何学习
本日只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习门路图
https://img-blog.csdnimg.cn/8bb5de58644d4dbc8bf419bd78b38454.png
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的门路图,假如你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上固然也有很多的学习资源,但根本上都残缺不全的,这是我本身录的网安视频教程,上面门路图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技能文档和电子书
技能文档也是我本身整理的,包罗我到场大型网安行动、CTF和挖SRC漏洞的履历和技能要点,电子书也有200多本,由于内容的敏感性,我就不逐一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为各人总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、主动化工具、网络垂纶等,感爱好的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是各人在面试深敬佩、奇安信、腾讯或者别的大厂面试时经常碰到的,假如各人有好的题目或者好的见解欢迎分享。
参考剖析:深敬佩官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表现更加易懂。
内容概要:包罗 内网、操作体系、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
https://img-blog.csdnimg.cn/img_convert/da1274937756ef025cecc0439519a3d4.png
因篇幅有限,仅展示部分资料,假如你对网络安全入门感爱好,需要的话可以在下方
https://img-blog.csdnimg.cn/img_convert/6e14ad54eba762dec2dbc8355bc467d1.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]