【网络安全】XSS和CSRF攻击

By 张怀义 at 2020-07-05

介绍的内容,我觉得自己看Wikipedia就可以了。

假设2049是蜜罐(其他网站也是可以的)

  1. 被害人,登录第三方网站(比如品葱)

  2. 被害人,登录蜜罐网站(比如,取个名字叫 K )

  3. 网站K 发送了伪造的请求给被害人,浏览器会转发这个请求给品葱(就像你正常操作品葱)

  4. 然后配合XSS,就可以得到品葱的账号和密码


这种攻击非常常见。我没法知道其他人会访问什么网站。而目标网站有没有防御CSRF,我也没法知道。

网上的防御手段,都是针对目标网站的。对于被害人其实没有介绍。

我的解决办法,就是使用Tor访问网站,都要保证隔离性。

一个tor只访问一个网站,如果要访问第二个网站,就重启tor访问,结束以后,再回来。

大网站,类似Google,YouTube,肯定是预防了CSRF的,所以大家可以放心。

小网站,就不保证了。简单讲,小网站别访问就对了!

CSRF, XSS, 网络安全, 攻击


针对tor的一些配置要求

地址栏输入about:config

输入 security.tls.version.min 修改为3(重要)

也可以输入 torlauncher ,然后修改自己需要的配置

安全的事情,都是自己保证的,没人给你们担保。

tor的默认配置可以保证安全。但是有些事情,其实tor是保护不了的。

我是为了保护自己,已经自己看过大部分tor源码,以及其他相关论文。

也在大量的网络安全论坛,和很多人参与了很多讨论。

网络安全,是靠着经验累积出来的。需要每天看大量的论文,参考大量的网络攻击案例。

非常枯燥,而且学习量非常大。

举个例子

我在阿里云,认识了王智通。我的实力,希望某些人可以明白下。

为了这个事情,我在2049发过HKSP的帖子。

HKSP就是王智通写的。(虽然骂声一片)

实力还是很强的,也在国内很有名了!

王智通的安全相关的代码,是合入Linux内核的(Linux到底安全不安全,你们要自己判断)

张怀义 at 2020-07-05
1