标签： CSRF

随着互联网的普及，网络安全变得越来越重要，程序员需要掌握最基本的web安全防范，下面列举一些常见的安全漏洞和对应的防御措施。 01 常见的Web安全问题 1.前端安全 XSS 漏洞 CSRF 漏洞 2.后端安全 SQL 注入漏洞 02 XSS漏洞 1.XSS简介 跨站脚本(cross site script)简称为XSS，是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。...

Magento目前被超过25万个在线零售商使用，成为黑客最有吸引力的攻击目标。去年，研究人员发现了数以千计的Magento网上商店遭到入侵和感染恶意代码，。

跨站请求伪造（Cross-Site Request Forgery）或许是最令人难以理解的一种攻击方式了，但也正因如此，它的危险性也被人们所低估。在“开放式Web应用程序安全项目”（OWASP）的榜单中，CSRF（又称XSRF）就位于前10的位置。

这篇文章介绍了 CSRF 的漏洞，并介绍了如何使用 OWASP ZAP 准备CSRF proof of concept。用户被重定向到表单后发动攻击。真正的攻击可能需要使用 AJAX 请求，为了保持沉默。然而，CSRF proof of concept由OWASP ZAP是很好的一个漏洞示范的目的。

在前些日子因为菲律宾枪杀台湾渔民而发生的“台菲黑客大战”中，台湾黑客一度攻陷菲律宾政府的DNS服务器，迫使菲律宾黑客公开“求饶”。DNS安全问题再次成为国内外研究的焦点。而近日，网上又爆出了“54DNS” 劫持事件。

该漏洞主要是未对网络图片的合法性进行检查，就直接放入img标签的src属性中，导致漏洞产生。目前网络上大部分网站都使用类似的方式处理网络图片，帖子主要以discuz做为例子。 目前影响discuz所有版本，我不会告诉你freebuf也可以这样搞的！ Discus在处理网络图片时，未对网络图片合法性进行验证，导致可以注入链接，但这里利用起来局限性比较大，由于discuz本身启用了随机的formhas...

近日，某站长在使用日志宝分析日志时发现，一些可疑IP地址会定期对网站第三方接口产生大量访问，影响了网站正常业务的运行。日志宝安全团队在与该站长进行沟通后判定这是一次典型的CSRF攻击。 针对此次攻击事件，日志宝安全团队发布了《日志宝-CSRF攻击案例分析报告》： 事件背景： 1、 站长在使用日志宝进行日常分析时发现，该IP地址在top20统计中的访问量明显高于第2位的IP地址访问量，并产生出大量异...

　　1、引言

　　跨站点请求伪造（Cross—Site Request Forgery）。以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等着名网站都有过CSRF漏洞。甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月着名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家，将CSRF列为最危险的25个编程错误之一。

　　2、现有的Web安全缺陷

　　2.1 Web安全策略

　　与CSRF有关的主要有三个Web安全策略：同源策略、Cookie安全策略和Flash安全策略。
...