防范跨站请求伪造 CSRF.pdf

《防范跨站请求伪造 CSRF.pdf》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、事实上，绝大多数攻击者是经由用户及其设备进入企业端点作为进入企业网络的入口，从而实施更大破坏和访问更的。现实情况往往是黑客跟踪一个用户，然后此用户成为帮助关键的数据库。黑客到达数据库或用户凭据的一个管道。在端点正在发生的事情和网络安全解决方案上正在发生因此，企业不仅需要端点安全和网络安全，而且还要将不的问题建立某种通信联系，对于早期检测系统至关重要，而且同的r安全方案集成起来。安全厂商也应当听从时代的召唤，建有助于防止对重大目标的攻击和损害。设针对新威胁的安全方案，迎接深度安全的新时代。安全厂商通过集成而相互发展新威胁要求新方法为战胜高级持续性威胁和保护公司免受其它新威胁的危

2、高级持续性威胁(APT)的重点不是最薄弱的潜在目标，害，安全厂商应当也正在从孤军奋战到朝着集成系统和平台而是针对特定企业的知识产权或其它有价值的数据。的方向转变。这种威胁对于基于签名的反恶意软件方案而言，颇具有理想情况下，我们能够借助防火墙或基于网络的入侵防挑战陛。你无法简单地希望自己企业的防御足够强大，因而可御系统阻止网络攻击，但这并不代表我们能够阻止一切攻击。以阻止潜在的攻击者并使攻击者转而对付其它目标，因为这最终，威胁将会突破防线进入网络内部。不是APT的目标。所以，公司不应当部署来自多个不同厂商的相互之间几现世界中，谁的家里都不能只锁上前门而不顾后I’]和乎或基本没有

3、集成的独立产品，而应当选择拥有多层安全功其他入口。一定会有人尝试所有的门窗，看看他们可以做什能的综合性产品。么。如今，我们可以在高级持续性攻击中看到更多类似的现约五年前，反病毒对于端点保护就不够了。好产品应当是象。问题的焦点是发现一种进入的方法，所以你必须确保安全基于签名的反病毒、反恶意软件检测以及防火墙、基于网络的项目可以覆盖所有的进入点和数据泄露的所有出口。否则，企IPS、行为监视、设备和应用程序控制、安全配置管理的组合，业迟早会遭受重大损失。可能还要有漏洞评估和补丁管理。安全解决方案之间的通信至关重要厂商们应当也正在从单纯的端点或网络保护迁移到全面由于高级持续性威胁和其

4、它类型的攻击非常复杂，所以的方法。端点安全和网络安全产品的聚合也正在发生发展着。你不但应有多层安全，而且还要保证多层安全方案能够相互在未来的几年，将会有更为强健而全面的方案。如果你准备好连接，并能够彼此通信。了改变或升级，就一定能够从众多产品中选择最适合企业需通常，高级恶意软件不会简单地针对个别端点，但会使用求的安全方案。(冯少)防范跨站请求伪造CSRFCSRF是CrossSiteRequestForgery的缩写，乍一看和⋯恶意网址，就有可能遭受攻击。有同学会奇怪了这个很难实XSS差不多的样子，但是其原理正好相反，XSS是利用合法用现吧，必须同时满足2个条件才行。其实很简单

5、，比如我们使户获取其信息，而CSRF是伪造成合法用户发起请求。用QQ，看看QQzone，突然蹦出个包含中奖或者问卷调查链征XSS危害—一ession劫持中我们提到了session原理，接的聊天窗口，这个腾讯做了防范，但是我们收到封邮件包含用户裔录后会把登录信息存放在服务器，客户端有一个用户此内容，很多用户会选择去点击。标识存在cookie中，只要用户不关闭浏览器或者退出登录，在如何防范其有效期内服务器就会把这个浏览器发送的请求当作当前客1．使用post，不使用get修改信息。户，如果这时候用户1被欺骗，使用浏。托器打开某些恶意网址，2．验证码，所有表单的提交需要验证码，但是貌

6、似用起来里面就会包含一些不是用户希望发送的请求，服务器也会把很麻烦，所以一些关键的操作可以。这蝗请求当作是当前客户发送的请求，这时候用户的个人信3在表单中预先植入一些加密信息，验证请求是此表单息、资金!壶全、如果用户权限高整个站点都可能会受到危害。发送。CSRF原理很简单，当用户登录以站点时用浏览器打开(刘丽)