网站安全

CSRF 一.什么是CSRF 1.CSRF：Cross-site request forgery 跨站请求伪造 2.CSRF可以实施的前提： （1）CSRF利用站点对用户浏览器的信任 （2）被攻击网站依赖用户的身份认证 （3）网站信任已经验证过的用户 （4）攻击者使得用户的浏览器发送HTTP请求到目标网站 注意：攻击者利用的是浏览器会主动带上cookie这一原理，并没有从用户的磁盘下直接盗取用户的cookie。所有的动作都是浏览器主动完成的。 浏览器给哪个网站发出请求，不会在意是从哪个网站发出的，只在意发送到哪个网站 二.攻击过程 1.攻击原理： （1).用户浏览器首先登陆了bank.com，bank.com生成了cookie并保留在用户浏览器Victim.Brower中。 （2).用户被欺骗，访问了attacker.com （3).attacker网站中隐藏了一个表单，并用js进行自动表单请求，用户浏览器会自动执行这个操作。 攻击者伪造了本应由用户自己主动发出的行为。 （4).之后用户浏览器再访问bank.com，会自动带上cookie。 （5).之后bank.com响应这个请求，攻击完成。 2.在zoobar网站上进行攻击的实现 所谓实现CSRF攻击，就是比如用户的正常界面是A，在这个A上存在提交的表单或者需要和服务器交互的什么东东

漏洞排查思路： 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”，80%就有漏洞了！ 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN、中国菜刀上传.　 2.注入漏洞 字符过滤不严造成的 3.暴库:把二级目录中间的/换成%5c　 　 4.'or'='or'这是一个可以连接SQL的语名句.可以直接进入后台。 我收集了一下。类似的还有： 　'or''=' 　" or "a"="a　　 ') or ('a'='a　　 ") or ("a"="a　　 or 1=1--　 ' or 'a'='a 5.社会工程学。这个我们都知道吧。就是猜解。 　 6.写入ASP格式数据库。就是一句话木马〈%execute request("value")%〉 （数据库必需得是ASP或ASA的后缀） 　　 7.源码利用：一些网站用的都是网上下载的源码.有的站长很懒.什么也不改. 比如：默认数据库，默认后台地址，默认管理员帐号密码等 8.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL. /Databackup/dvbbs7.MDB /bbs/Databackup/dvbbs7.MDB /bbs/Data/dvbbs7.MDB /data/dvbbs7.mdb /bbs/diy

　　导航 　　1、关掉访问保护 　　2、发布网站 　　3、复制网站到服务器 　　4、添加新网站 　　5、设置网站访问权限 　　6、设置文件夹访问权限 　　7、控制可更新文件夹执行权限 　　8、设置“应用程序池”.net版本与模式 　　9、附加数据库 　　10、添加数据库访问用户 　　11、设置数据库链接 　　12、 部署注意事项 　　对于网站的安全部署方面，大家请看我以前写的《 服务器安全部署文档 》里面已基本上将服务器相关的安全设置都讲到了，照着里面的操作一般的黑客是比较难攻击进来的（代码漏洞除外），而本章的部署则是是该篇设置好的基础上来创建站点的。 　　1、关掉访问保护 　　 打开安全防护软件，关掉访问保护（由于做了策略，在服务器上未经授权无法创建dll和exe文件，不关掉的话就没办法拷贝网站的dll文件到服务器里） 　　 　　记得网站添加成功后重新开启访问保护 　　2、发布网站 　　打开解决方案，对Web项目按右键，在弹出的菜单中点击“发布”—— 这样生成的是Debug版部署包，如果发布到正式环境的话，可以点击“生成部署包”来发布正式版 　　 　　选择发布方法为文件系统，点击发布按键发布网站 　　 　　将红框框住的文件夹内容复制到发布成功的文件夹中（由于这些文件夹没有包含到项目中，所以发布时并没有一起发布出来——这样做是为了打开解决方案时，不用加载太多内容

HTTP与HTTPS的区别 　　超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。 　　为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。 一、HTTP和HTTPS的基本概念 　　HTTP：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。 　　HTTPS：是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 　　HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。 二、HTTP与HTTPS有什么区别？ 　　HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全

CSRF攻击 CSRF攻击概述 CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患，比如 SQL 脚本注入，跨站域脚本攻击等在近年来已经逐渐为众人熟知，很多网站也都针对他们进行了防御。然而，对于大多数人来说，CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞，从而被黑客攻击而使 Gmail 的用户造成巨大的损失。 CSRF攻击原理 网站是通过 cookie 来实现登录功能的。而 cookie 只要存在浏览器中，那么浏览器在访问这个 cookie 的服务器的时候，就会自动的携带 cookie 信息到服务器上去。那么这时候就存在一个漏洞了，如果你访问了一个别有用心或病毒网站，这个网站可以在网页源代码中插入js代码，使用js代码给其他服务器发送请求（比如ICBC的转账请求）。那么因为在发送请求的时候，浏览器会自动的把 cookie 发送给对应的服务器，这时候相应的服务器（比如ICBC网站），就不知道这个请求是伪造的，就被欺骗过去了。从而达到在用户不知情的情况下，给某个服务器发送了一个请求（比如转账）。 防御CSRF攻击 CSRF攻击的要点就是在向服务器发送请求的时候，相应的 cookie

安全 1，CSRF攻击 1，CSRF攻击概述 CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患，比如 SQL 脚本注入，跨站域脚本攻击等在近年来已经逐渐为众人熟知，很多网站也都针对他们进行了防御。然而，对于大多数人来说，CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞，从而被黑客攻击而使 Gmail 的用户造成巨大的损失。 2，CSRF攻击原理 网站是通过cookie来实现登录功能的。而cookie只要存在浏览器中，那么浏览器在访问这个cookie的服务器的时候，就会自动的携带cookie信息到服务器上去。那么这时候就存在一个漏洞了，如果你访问了一个别有用心或病毒网站，这个网站可以在网页源代码中插入js代码，使用js代码给其他服务器发送请求（比如ICBC的转账请求）。那么因为在发送请求的时候，浏览器会自动的把cookie发送给对应的服务器，这时候相应的服务器（比如ICBC网站），就不知道这个请求是伪造的，就被欺骗过去了。从而达到在用户不知情的情况下，给某个服务器发送了一个请求（比如转账）。 3，防御CSRF攻击 CSRF攻击的要点就是在向服务器发送请求的时候

网站是否安全可以从这几个方面看 　　网站组成三要素：域名、空间、程序！ 　　所以保证网站安全就从这三个方面着手。 　　1、 域名安全 （域名就比如www.iis7.com ,举例这个域名是因为它有搞网站监控工具的，搜到这篇文章，那你很可能会用到） 　　保证域名安全，可以看看域名劫持是否被劫持，域名劫持是互联网劫持的一种方式，通过域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。 　　2、 空间安全 （空间又称虚拟主机空间，简单的理解就是用来存放网站内容的空间。它可以存放网站的文件、资料，包括文字、文档、数据库、网站的页面和图片等等。） 　　这个就看看网站内容有没有被篡改，有没有被DNS污染啥的。 　　3、 程序安全 （程序有开源跟不开源，比如织梦CMS，帝国CMS等程序） 　　看看有没有页面跳转迹象，有没有什么广告弹窗出来关都关不掉之类的等等。 　　3、 程序安全 （程序有开源跟不开源，比如织梦CMS，帝国CMS等程序） 　　说真的，我们无法保证自己的网站不会被黑，不过我们可以有能力及时补救！平时就监控管理优化起来，未雨绸缪嘛 小白一枚，写的不全，要是有说的不对的地方，欢迎感谢高手留言指教！ 来源： 51CTO 作者： wx5db3eb783b767 链接： https://blog.51cto.com

　超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。 　　为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。 一、HTTP和HTTPS的基本概念 　　HTTP：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。 　　HTTPS：是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 　　HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。 二、HTTP与HTTPS有什么区别？ 　　HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全

HTTP与HTTPS的区别 　　超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。 　　为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。 一、HTTP和HTTPS的基本概念 　　HTTP：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。 　　HTTPS：是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 　　HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。 二、HTTP与HTTPS有什么区别？ 　　HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全

近几年，互联网发生着翻天覆地的变化，尤其是我们一直习以为常的HTTP协议，在逐渐被HTTPS协议所取代，在浏览器、搜索引擎、CA机构、大型互联网企业的共同推动下，互联网迎来了“全网HTTPS加密新时代”企业站点目前已全面开启HTTPS模式, 就连个人博客、登陆 Apple App Store 的App和微信的小程序等，也已经启用了全站HTTPS。HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。 HTTP的高安全隐患 HTTP的传输特点是明文传输，任何经过HTTP协议传输的数据都是未加密，谁都能看到的传输数据。HTTP明文传输给页面劫持、页面篡改、数据泄露、mu马注入等黒客行为提供了便利，所以用户隐私泄露的风险非常高。 常见的几种危害比较大的中间内容劫持形式如下： 1、获取无线用户的手机号和搜索内容并私下通过电话广告骚扰用户。 2、获取用户账号cookie，盗取账号有用信息。 3、在用户目的网站返回的内容里添加第三方内容，比如广告、钓鱼链接、植入mu马等。 HTTPS加密了什么？ HTTPS（HypertextTransfer Protocol Secure）安全超文本传输协议，它是由Netscape开发并内置于其浏览器中，用于对数据进行加解密操作，并返回网络上传送回的结果。简单讲就是是HTTP的安全版，即HTTP下加入SSL层，在SSL层对请求数据进行加密