日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
CSPflaws:cookiefixation

[[182419]]

發(fā)展壯大離不開(kāi)廣大客戶長(zhǎng)期以來(lái)的信賴與支持,我們將始終秉承“誠(chéng)信為本、服務(wù)至上”的服務(wù)理念,堅(jiān)持“二合一”的優(yōu)良服務(wù)模式,真誠(chéng)服務(wù)每家企業(yè),認(rèn)真做好每個(gè)細(xì)節(jié),不斷完善自我,成就企業(yè),實(shí)現(xiàn)共贏。行業(yè)涉及成都崗?fù)?/a>等,在重慶網(wǎng)站建設(shè)公司、營(yíng)銷(xiāo)型網(wǎng)站、WAP手機(jī)網(wǎng)站、VI設(shè)計(jì)、軟件開(kāi)發(fā)等項(xiàng)目上具有豐富的設(shè)計(jì)經(jīng)驗(yàn)。

前言

我們知道,CSP不會(huì)阻止 這樣的標(biāo)簽。因此,對(duì)于含有XSS漏洞的頁(yè)面來(lái)說(shuō),即使提供了CSP保護(hù),攻擊者仍然可以通過(guò)寫(xiě)入Cookie來(lái)發(fā)動(dòng)攻擊。 下面,我們來(lái)考察一些與Cookie篡改漏洞有關(guān)的例子。

雙重提交Cookie示例

雙重提交cookie是一些應(yīng)用程序和框架用于處理CSRF的技術(shù)。這意味著所有表單都必須包含一個(gè)在cookie中設(shè)置的令牌。 如果在表單中發(fā)送的令牌與cookie中的令牌不同,則請(qǐng)求被丟棄。 這種技術(shù)被OWASP推薦為基于會(huì)話的令牌的替代方案。

在偽代碼中它可能看起來(lái)像這樣:

 
 
 
    
  
  
  
  1. //User sent the form 
    2.   
  
  
  2. if(isset($_POST['submit'])){ 
    3.   
  
  
  3.          if($_POST['token'] == $_COOKIE['token']){ 
    4.   
  
  
  4.                   //Accept the form 
    5.   
  
  
  5.          }else{ 
    6.   
  
  
  6.                   echo "CSRF ATTACK DETECTED"; 
    7.   
  
  
  7.                   exit(); 
    8.   
  
  
  8.          } 
    9.   
  
  
    10.

沒(méi)有CSP的時(shí)候,如果應(yīng)用程序含有XSS漏洞,那么攻擊者就可以使用腳本來(lái)填寫(xiě)并提交他們想要攻擊的任何表單:

 
 
 
    
  
  
  
  1.  
    2.

使用CSP后,我們就可以(通過(guò)使用隨機(jī)數(shù)或限制內(nèi)聯(lián)腳本)避免這種情況了。然而,攻擊者可以使用以下payload來(lái)實(shí)現(xiàn)同樣的事情:

 
 
 
    
  
  
  
  1.  
    2.

然后,在攻擊者的網(wǎng)站上:

 
 
 
    
  
  
  
  1.  
    2.   
  
  
  2. ' onload="submitForm()"> 
    3.   
  
  
  3.  
    4.   
  
  
  4.  
    5.   
  
  
  5.  
    6.   
  
  
  6.  
    7.

 

 

 

 

因?yàn)楣粽吣軌蚋膶?xiě)令牌,所以他們可以在其頁(yè)面上的表單中使用新令牌,從而繞過(guò)CSRF保護(hù)措施。

雙會(huì)話示例

現(xiàn)實(shí)中,使用多個(gè)會(huì)話Cookie的應(yīng)用程序是非常少見(jiàn)的。例如,主應(yīng)用程序使用一個(gè)會(huì)話Cookie,而“次應(yīng)用程序”使用另一個(gè)會(huì)話Cookie。

如果攻擊者可以篡改cookie,他們就可以讓受害者在主應(yīng)用程序中使用攻擊者的會(huì)話cookie。這樣的話,就可以讓受害者在主應(yīng)用程序中以攻擊者身份登錄,而在次應(yīng)用程序中以受害者身份登錄。

如果應(yīng)用程序從主應(yīng)用程序提取送貨數(shù)據(jù),那么受害人在次應(yīng)用程序中購(gòu)買(mǎi)的產(chǎn)品就會(huì)被發(fā)往攻擊者的地址。

子域cookie XSS示例

如果子域中存在cookie XSS漏洞,攻擊者可以使用cookie篡改漏洞來(lái)設(shè)置XSS cookie,然后重定向到易受攻擊的頁(yè)面:

 
 
 
    
  
  
  
  1. 

    

    感谢您访问我们的网站,您可能还对以下资源感兴趣:
    
日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区


    

久久精品无码av|一级中文无码免费观看|日韩欧美黄片手机版|人妻激情视频成人无码aaa|美女一级黄色毛片|国产aa黄片亚洲破处片|黄色A极大片特级a黄片|综合精品一区二区三区四区在线|国产精品不卡无码av在线播放|超碰亚洲在线日韩肏屄
91AV乱伦强奸|国产理伦电影尤物导航|在线观看高清无码黄片|特黄色电影特级毛片|亚洲精品av一区二区三区|91AV无码免费|久久嫩草国产亚洲无码网站|国产91极度丝袜|青青草在线视频免费观看|黄色av网五月天
在线视频一本一区|91在线免费视频网站|国产视频在线观看91|A片在线观看视频直接观看|在线免费A片黄色电影|美女视频图片永久免费观看|青青色在线观看视频网站|日本欧美视频在线看v片成人|色情性黄?片免费视频中国免费的|国产一线二线三黄色片