国内网络安全 沙箱

目录

基本概念

攻击原理 

攻击类型

        GET型

        POST型

        引诱用户点击链接

防护建议

                                                如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。

基本概念

跨站请求伪造，通常缩写为 CSRF 或者 XSRF。是一种通过网站对用户网页浏览器的信任，使用户在当前已登录的Web程序上执行非本意的操作的攻击方法。

        跨站请求攻击是攻击者利用一些技术手段欺骗用户访问已经认证过的网站，让网站以为是用户在进行操作。虽然攻击者无法直接获取用户账户的控制权，也不能窃取任何的账户信息，但可以欺骗浏览器，让其以用户的名义进行操作。如以用户的名义发邮件，发消息，盗取用户账号，甚至购买物品，转账等。

浏览器的身份，并没有验证操作者的身份。攻击一般会在仅使用 cookie 进行会话管理和仅依靠 HTTP 认证，SSL 客户端证书，手机的移动 ID 来识别用户的网站出现。只要点击恶意链接或者浏览恶意网站就会触发 CSRF 攻击。

攻击原理 

攻击类型

        GET型

img 标签里构建一个请求，当用户打开这个网站的时候就会自动提交这个请求。 

        POST型

自动提交这个表单。

引诱用户点击链接

         在链接的 a 标签的 href 属性中构建一个请求，诱使用户去点击这个链接。

        CSRF 攻击多数情况下发起于第三方网站，少数发起于本站，如评论区等；且攻击对象必须是登陆状态；个人信息不会被窃取，而是冒用；CSRF 攻击手段多样化，可通过 URL，CORS 等发起攻击。

防护建议

        限制 GET        因为 GET 接口的 img 标签太容易被攻击，所以应尽量使用 POST，虽然 POST 也不是万无一失的，但可以降低被攻击的风险。

“HTTPOnly”

token，并在服务器端进行校验，如果 token 信息异常则拒绝该请求。

        识别 referer      HTTP 头中的字段 referer 可以判断出来该请求头的来源，验证请求头的来源是否是来自自己的，如果不是则拒绝该请求。

        在网站上登录之后，及时登出也能在一定程度上避免 CSRF 攻击。还可在涉及隐私的操作上，验证密码；禁止用户上传 HTML 页面等内容到服务器；对用户上传的图片进行转存或校验等。在论坛上会发出外链跳转警告，同样也是为了防范 CSRF 攻击。

网络安全学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

需要网络安全学习路线和视频教程的可以在评论区留言哦~

最后

• 如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不仅有web安全，还有渗透测试等等内容，包含电子书、面试题、pdf文档、视频以及相关的课件笔记，我都已经学过了，都可以免费分享给大家！

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。

黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：
此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失