前言 网站通常会使用 cookie来记录用户的登录状态，但并非安全，因为 cookie被允许在第三方网站（也不仅限于第三方）发起的请求中携带，因此利用这一点可以达到 CSRF 攻击。本文不再对 CSRF 的原理作过多阐述， 点击这里了解CSRF [https://zh.wikipedia.org/wiki/跨站请求伪造] 。 如果别人问起防 CSRF 的方法有哪些，大家通常会说出：Token + Referer，该方案在业界已经非常成熟。当一个问题有了解决办法后，就很人有人会去了解别的方案，我想听听不同的声音。 有位社会人曾经说过：有趣的灵魂万里挑一。 本文给大家介绍另一种防 CSRF 的方法。 第三方请求 开始前我们先了解一下 第三方请求 ，什么样的请求被称为第三方请求？简单来说就是在一个网页上发起一个不同源的请求，那么我们可以称为第三方请求。 在一个页面上发起一个第三方请求可以分为有 异步请求 和 同步请求： 1、 异步请求 指的是在当前页面上通过 script 、 link 、 img 、 fetch 、 XHR 等方法发起的请求，这些都不会让页面发生变化，也不会打开新的页面。

前一阵子准备 xss 的分享。准备一些简单的讲解例子。刚好看到 xss.tv 上一些demo不错，可以玩玩，简单小记一下。 首先，我们来到闯关页面 这个xss闯关比较简单，其实就是寻找输入点和输出点的游戏。 开始第一关卡，输入点在参数，输出在html的dom结构上，没有任何过滤。插入可执行的html标签即可。当然我们这里都是先忽略浏览器本身的安全策略。 关卡一直接过，看看关卡二，依然是寻找输出点

最近淘了一个支持4G的iPad Pro，考虑买一个什么类型的流量卡比较划算。对比了一下，发现还是用腾讯系的应用比较多，例如王者荣耀、腾讯视频、微信QQ等，那就选个腾讯的大王卡吧。打开微信，王卡助手，进入申请王卡的页面，发现可以自选号码，那就必须要选一个自己喜欢的号码了 。 个人偏爱0这个数字，虚无没有意义又简单好记，于是使用页面提供的搜索功能，搜索000，发现什么也没有。再尝试搜索186，也什么都没有。原来这个系统不支持搜索3位数字。好吧，继续搜索00，出来了一批没什么意义的号码，花了些时间一直点击“换一批”按钮，也没找到什么中意的号码。 突然发现，这个页面点击换一批的速度还挺快的嘛，打开chrome控制台，看了下请求。原来是有一个jsonp的请求一次性拉回来100个号码，然后随机换着显示，这不耍猴呢。我倒想看看联通的号码库到底有多少个号码可以让我选，随手写了段脚本，打开控制台执行。 var nums = []; // 存储所有的号码var isStop = false; // 是否停止采集functionload(url, callback) {

前言 xss作为江湖上一种常见的攻击手段，一直有广泛的使用。然而怎么样发现一个交互的地方是否会有xss漏洞呢？有一些通用的思路。一下就是思路的总结。 攻击代码 首先，找到一个你觉得可能会有问题的地方。然后提交这一段代码，如果出现了弹窗，或者打开开发者，发现报了错。那么恭喜你~找到一个xss漏洞啦。 PAYLOAD分析 上面的那段代码，刚拿来看的时候，可能会恨疑惑这是些什么东西。这是因为，这一长串代码讲所有可能的场景都包含在内了。首先，我们并不知道我们提交之后，服务器返回的response会出现在什么地方。一般来说，会出现在一下几个地方： 1. html标签之间 -》</防过滤/div id='body' >[输出]< /防过滤/ /div> 2. html标签之内 -》</防过滤/input type=”text” value=”[输出]” />

1. 前言 对于一张网页，我们往往希望它是结构良好，内容清晰的，这样搜索引擎才能准确地认知它。 而反过来，又有一些情景，我们不希望内容能被轻易获取，比方说电商网站的交易额，教育网站的题目等。因为这些内容，往往是一个产品的生命线，必须做到有效地保护。这就是 爬虫与反爬虫 这一话题的由来。 2. 常见反爬虫策略 但是世界上没有一个网站，能做到完美地反爬虫。 如果页面希望能在用户面前正常展示，同时又不给爬虫机会，就必须要做到识别真人与机器人。因此工程师们做了各种尝试，这些策略大多采用于 后端 ，也是目前比较常规单有效的手段，比如： * User-Agent + Referer检测 * 账号及Cookie验证 * 验证码 * IP限制频次 而爬虫是可以无限逼近于真人的，比如： * chrome headless或phantomjs来模拟浏览器环境 * tesseract 识别验证码 * 代理IP淘宝就能买到 所以我们说，100%的反爬虫策略？不存在的。 更多的是体力活，是个难易程度的问题。

加密：利用某种加密算法，将明文转换成无法简单识别的密文。 解密：利用相应的解密算法，将密文转换成可识别的明文。 密码破解：1、算法逆向破解（一般算法都是不可逆的）；2、穷举暴力破解 3、查表，实际上表也是提前穷举跑出来的。 慢加密：提高加密时间来相应的加大破解时间和难度。 慢加密出现的原因：密码破解的时间和加密算法是直接关联的，例如 MD5 加密是非常快的，加密一次耗费 1 微秒，那破解时随便猜一个词组，也只需 1 微秒，攻击者一秒钟就可以猜 100 万个。如果加密一次提高到 10 毫秒，那么攻击者每秒只能猜 100 个，破解速度就慢了一万倍。提高加密时间有两种方法，一是多次加密，二是加大加密算法的复杂度。 但如果是服务器端加密，使用慢加密的网站，如果同时来了多个用户，服务器 CPU 可能就不够用了。所以前端加密在客户端拥有强大的计算能力的今天，逐渐被考虑。 慢加密过程： 破解方法： 暴力的穷举生成字典法

忙忙忙，最近事情实在有点多，赶在月底写一下系列4。 前面3个文章简单介绍了xss，后面还会继续对xss进行研究。无奈最近啥都没研究，只好先一个csrf的入门文章过渡一下。 这篇是csrf入门篇，内容比较简单，知道csrf的同学可以直接关掉页面了。 CSRF 是什么 CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一。 CSRF 能干啥 攻击者盗用了你的身份，在你不知情的情况下以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，购买商品，虚拟货币转账，删你文章，微博等等。 CSRF 原理 看完上面介绍，我自己是没有任何收获。。还是先看个图吧。借用cnblogs某大大一个图

作为一个web开发者，避免不了用户登录功能，但是有多少知道用户登录的一些安全防范技术呢？ 一般的菜鸟只知道把用户信息保存到Cookie即可，登录只管判断Cookie是否存在，凭借着cookie值的存在情况来判断用户是否登录，更有一些甚至把用户密码也保存在Cookie中，这是极其危险的，人家要搞你分分钟可以模拟你的Cookie来登录你的用户，做一些危险的事情。 1、攻击者怎么拿到你的登录的Cookie值。 现在各种攻击技术，目前我只了解XSS攻击方式，就在前一段时间，我自己建立了一个自己的 @前端社区 ) 在群里面讨论遇到了一个大神，做过一个XSS攻击的测试，他在我的社区里面发布了一篇博客，里面嵌入了XSS攻击脚步，脚步代码如下： (function(){(new Image()).src='

上篇文章写到了一个亲自测试的demo，其中有一个地方讲到了“html字符实体”，这是上次xss成功需要知道的非常重要的一个小知识。不仅html字符实体，要继续学习xss需要了解很重要的一个知识就是编码。不然很多时候遇到各种对特殊字符的过滤可能就无能为力了。这篇文章就是要学习一下xss各种编码的知识，内容可能比较枯燥～～ 最近sng要求大家做安全考试，跟xss相关有两个个非常经典的题目： 题目1答案是b，题目2答案是c和d。 看完这两道题如果大家都很轻松的答对了，而且知其所以然，那么这篇文章大家快速浏览下或者直接关掉啦～～ 为了解答上面的问题，我们先来学习下面编码相关的知识吧～～ 常用编码

原文链接 web前端安全方面技术含有的东西较多，这里就来理一理web安全方面所涉及的一些问题。 一、XSS与SQL攻击 入门级的安全知识，攻击手段和防范方法这里略过，不过注意的是xss分存储型xss、反射型xss、mxss(dom xss)，主要防范思路是检查验证要输入到页面上的内容是否安全。 二、CSRF 入门级的安全知识，攻击手段和防范方法这里略过 三、请求劫持与HTTPS 3.1、请求劫持 请求劫持现在主要分为两种，DNS劫持与HTTP劫持： DNS劫持： DNS劫持就是通过劫持了DNS服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现的。

上篇文章讲解了xss的一些基础知识，这篇文章继续研究学习。上篇文章提到了一些理论性的东西，看完估计感觉很快也忘了。简单回顾一下，讲了xss分类：存储型XSS，反射型XSS，DOM XSS。讲了几个简单的payload，也只是理论性的东西。这篇先不继续看理论了，先来尝试尝试如何使用payload~ 玩起~~ 实战 理论的东西看了也很快就忘记了，于是我决定找个东西实际玩一玩~ 就从身边的东西，imweb博客入手好了。 仔细看了一下博客，最容易xss的似乎是文章里面的评论框，这个评论框是支持富文本的，当富文本一进来就意味着风险也一并进来了。 评论框的过滤规则一般有两类，第1类我们称为白名单，即：只允许使用白名单内的合法HTML标签，例如IMG。其它均剔除。 第2类我们称为黑名单，即：厂商会构建一个有危害的HTML标签、属性列表，然后通过分析用户提交的HTML代码，剔除其中有害的部分。 我们博客的评论框我测试了一下，应该是黑名单过滤的。 初探 对评论框还完全不了解，看看代码也是压缩了的，懒得去看压缩后的代码= = 直接用富文本试探好了~~ 首先我提交了非常简单的一个payload