文章目录
- 七种常见的前端攻击
-
* 1.跨站脚本(XSS)- 2.依赖性风险
- 3.跨站请求伪造(CSRF)
- 4.点击劫持
- 5.CDN篡改
- 6. HTTPS 降级
- 7.中间人攻击
随着 Web 应用程序对业务运营变得越来越重要,它们也成为更有吸引力的网络攻击目标。但不幸的是,与后端和 DevOps 同行相比,许多 Web
开发人员在构建安全前端方面已经落后。这种差距增加了破坏性数据泄露的风险。
最近发生的诸如Balancer 协议泄露之类的事件暴露了攻击者在利用前端漏洞时可以造成多大的损害。据公开承认的消息,Balancer Protocol
据报道遭到前端攻击,造成超过 24 万美元的损失。由于黑客工具和脚本的激增,发起攻击的障碍不断下降,对 Web 应用程序的威胁持续增长。
七种常见的前端攻击
1.跨站脚本(XSS)
这是一种注入恶意客户端代码的攻击。例如,攻击者可以将窃取用户 cookie 的 JavaScript
输入到不清理条目的评论表单中。当受害者加载受感染的页面时,脚本会执行以使攻击者能够访问用户帐户。
2.依赖性风险
前端应用程序依赖许多第三方库和组件。如果这些存在漏洞,就会破坏整个应用程序。使用具有已知问题的过时依赖项是开发人员常见的疏忽。
3.跨站请求伪造(CSRF)
这些迫使受害者在他们登录的应用程序中执行不需要的操作。例如,攻击者可以通过伪装的链接欺骗用户,使用用户存储的凭据悄悄地从用户的帐户中转移资金。
4.点击劫持
在可信页面上使用透明覆盖层来诱骗用户单击与他们感知不同的内容。例如,攻击者可以将转移资金按钮覆盖在猫视频的播放按钮上。
5.CDN篡改
如果从外部CDN加载库,攻击者可以在那里修改它们以注入恶意代码,然后由应用程序用户下载。
6. HTTPS 降级
剥离 HTTPS 加密有助于监视用户流量。攻击者利用错误或缺少 HSTS 标头将 HTTP 请求降级为普通的不受保护的 HTTP。
7.中间人攻击
攻击者秘密转发并可能改变两方认为他们正在通信的方式。这使得在受害者之间监视和传播虚假信息成为可能。
随着越来越多的业务功能转移到线上,网络作为攻击媒介将继续增长。因此,构建前端应用程序的 JavaScript
开发人员需要加强他们的安全实践。此外,从攻击者的角度了解漏洞对于在漏洞成为头条新闻之前将其关闭至关重要。
python推荐学习汇总连接:
50个开发必备的Python经典脚本(1-10)
50个开发必备的Python经典脚本(11-20)
50个开发必备的Python经典脚本(21-30)
50个开发必备的Python经典脚本(31-40)
50个开发必备的Python经典脚本(41-50)
————————————————
最后我们放松一下眼睛
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫码领取
