.CSRF攻撃と注意事項
1.コンセプト
-
他のサイトからの要求は、意志はユーザーが開始した要求を誘導する、ユーザの要求が、リクエストフォージェリではありません
2.シーン
-
攻撃者があなたに代わって、悪質なリクエストを送信するためにあなたのアイデンティティを盗みました。CSRFは、物事には、行うことができます。あなたの名前はあなたのアカウントを盗む、メッセージング、電子メールを送信し、商品のさえ購入するために、仮想通貨の転送は...起因する問題は、次のとおりです。個人のプライバシーや財産の安全性の開示を。
3.プロセスの攻撃
4.防衛スタイル
-
の形で提出されたハッシュ検証フォーム要素を追加します。
-
そのような検証コードとして、認証に記入
-
トークンサーバをチェックしてください
II。ファイルアップロードの脆弱性と予防措置
1.コンセプト
-
ファイルアップロードの脆弱性は、サーバーへの実行可能ファイルをアップロードして実行するには、ネットワーク攻撃を指し、
2.シーン
-
この抜け穴は、アップロードの脆弱性を利用して、DVBBS6.0時代の最も横行で、ハッカーに悪用された直接ウェブシェル得られ、超高危険度、今の侵略のアップロードの脆弱性は一般的な脆弱性であることができます
-
脆弱性の原因は、コードチェックやフィルタずさんで提出することができる他のデータではないということです、あなたは直接拡張名をバイパス修正試験データを提出することができます。
3.プロセスの攻撃
4.防衛スタイル
-
フロントエンドの検証ファイルタイプ
-
背景検証ファイル拡張子
-
アップロードするファイルの名前を変更