日韩精品欧美激情国产一区_中文无码精品一区二区三区在线_岛国毛片AV在线无码不卡_亞洲歐美日韓精品在線_使劲操好爽好粗视频在线播放_日韩一区欧美二区_八戒八戒网影院在线观看神马_亚洲怡红院在线色网_av无码不卡亚洲电影_国产麻豆媒体MDX

一、前端漏洞

1、XSS攻擊

核心：惡意腳本注入

描述：攻擊者通過(guò)在目標(biāo)網(wǎng)站上注入惡意腳本，使之在用戶(hù)的瀏覽器上運(yùn)行。利用這些惡意腳本，攻擊者可獲取用戶(hù)的敏感信息如 Cookie、SessionID 等，進(jìn)而危害數(shù)據(jù)安全。

2、CSRF攻擊

核心：利用用戶(hù)身份偽造請(qǐng)求

描述：利用受害者在被攻擊網(wǎng)站已經(jīng)獲取的注冊(cè)憑證，繞過(guò)后臺(tái)的用戶(hù)驗(yàn)證，冒充用戶(hù)對(duì)被攻擊的網(wǎng)站發(fā)送執(zhí)行某項(xiàng)操作的請(qǐng)求

3、HTTP劫持

核心：廣告、彈框html注入

描述：當(dāng)我們?cè)L問(wèn)頁(yè)面的時(shí)候，運(yùn)營(yíng)商在頁(yè)面的HTML代碼中，插入彈窗、廣告等HTML代碼，來(lái)獲取相應(yīng)的利益

4、界面操作劫持

核心：視覺(jué)欺騙

描述：界面操作劫持是一種基于視覺(jué)欺騙的劫持攻擊。通過(guò)在頁(yè)面上覆蓋一個(gè)iframe + opacity:0的頁(yè)面，讓用戶(hù)誤點(diǎn)擊

5、錯(cuò)誤的內(nèi)容推斷

核心：js偽裝成圖片文件

描述：攻擊者將含有JavaScript的腳本文件偽裝成圖片文件（修改后綴等）。該文件逃過(guò)了文件類(lèi)型校驗(yàn)，在服務(wù)器里存儲(chǔ)了下來(lái)。接下來(lái)，受害者在訪問(wèn)這段評(píng)論的時(shí)候，瀏覽器請(qǐng)求這個(gè)偽裝成圖片的JavaScript腳本并執(zhí)行

6、不安全的第三方依賴(lài)包

核心：第三方漏洞

描述：框架及第三方依賴(lài)的安全漏洞

7、HTTPS降級(jí)HTTP

核心：攔截首次http通信

描述：?jiǎn)栴}的本質(zhì)在于瀏覽器發(fā)出去第一次請(qǐng)求就被攻擊者攔截了下來(lái)并做了修改，根本不給瀏覽器和服務(wù)器進(jìn)行HTTPS通信的機(jī)會(huì)。大致過(guò)程如下，用戶(hù)在瀏覽器里輸入U(xiǎn)RL的時(shí)候往往不是從https://開(kāi)始的，而是直接從域名開(kāi)始輸入，隨后瀏覽器向服務(wù)器發(fā)起HTTP通信，然而由于攻擊者的存在，它把服務(wù)器端返回的跳轉(zhuǎn)到HTTPS頁(yè)面的響應(yīng)攔截了，并且代替客戶(hù)端和服務(wù)器端進(jìn)行后續(xù)的通信

8、本地存儲(chǔ)數(shù)據(jù)泄露

核心：敏感、機(jī)密數(shù)據(jù)

描述：前端存儲(chǔ)敏感、機(jī)密信息易被泄露

9、缺失靜態(tài)資源完整性校驗(yàn)

核心：CDN資源劫持

描述：存儲(chǔ)在CDN中的靜態(tài)資源，攻擊者劫持了CDN，或者對(duì)CDN中的資源進(jìn)行了污染

10、文件上傳漏洞

核心：文件類(lèi)型限制

描述：文件后綴及文件內(nèi)容沒(méi)有嚴(yán)格限制

11、文件下載漏洞

核心：文件類(lèi)型、目錄限制

描述：下載敏感文件、下載目錄

二、防范方法

1、通用方法

 2、響應(yīng)頭詳解