【网络安全】XSS和CSRF攻击
By 张怀义
at 2020-07-05
介绍的内容,我觉得自己看Wikipedia就可以了。
假设2049是蜜罐(其他网站也是可以的)
-
被害人,登录第三方网站(比如品葱)
-
被害人,登录蜜罐网站(比如,取个名字叫 K )
-
网站K 发送了伪造的请求给被害人,浏览器会转发这个请求给品葱(就像你正常操作品葱)
-
然后配合XSS,就可以得到品葱的账号和密码
这种攻击非常常见。我没法知道其他人会访问什么网站。而目标网站有没有防御CSRF,我也没法知道。
网上的防御手段,都是针对目标网站的。对于被害人其实没有介绍。
我的解决办法,就是使用Tor访问网站,都要保证隔离性。
一个tor只访问一个网站,如果要访问第二个网站,就重启tor访问,结束以后,再回来。
大网站,类似Google,YouTube,肯定是预防了CSRF的,所以大家可以放心。
小网站,就不保证了。简单讲,小网站别访问就对了!
针对tor的一些配置要求
地址栏输入about:config
输入 security.tls.version.min 修改为3(重要)
也可以输入 torlauncher ,然后修改自己需要的配置
安全的事情,都是自己保证的,没人给你们担保。
tor的默认配置可以保证安全。但是有些事情,其实tor是保护不了的。
我是为了保护自己,已经自己看过大部分tor源码,以及其他相关论文。
也在大量的网络安全论坛,和很多人参与了很多讨论。
网络安全,是靠着经验累积出来的。需要每天看大量的论文,参考大量的网络攻击案例。
非常枯燥,而且学习量非常大。
举个例子
我在阿里云,认识了王智通。我的实力,希望某些人可以明白下。
为了这个事情,我在2049发过HKSP的帖子。
HKSP就是王智通写的。(虽然骂声一片)
实力还是很强的,也在国内很有名了!
王智通的安全相关的代码,是合入Linux内核的(Linux到底安全不安全,你们要自己判断)
张怀义
at 2020-07-05
1