问题标签 [client-side-attacks]

我正在通过 auth 2.0 协议 [1] 以及证明密钥 RFC [2]。它很好地解释了该协议如何防止恶意应用程序监听网络流量。但是，我无法理解 auth 2.0 协议如何防止在浏览器本身上运行的恶意代码。

让我们以证明密钥 RFC 协议为例。我们生成了一个高熵代码验证器，但我们必须将它存储在浏览器的某个位置（可能在 cookie/浏览器的本地存储中），以便再次使用它来获取令牌。现在，如果浏览器上执行恶意代码，它可以随时访问cookies/本地存储并获取代码验证器。

是否有防止基于 cookie 的攻击的协议增强（类似于 RFC-7636）？如果不是，我们如何减轻它？

[1] https://www.rfc-editor.org/rfc/rfc6749

[2] https://www.rfc-editor.org/rfc/rfc7636

我让他为我的 php 网站进行防洪保护：

它工作正常，因为网站在我添加后（15 天前）变得稳定，但有问题。要了解问题，您可以访问被攻击的网站 ( http://www.lamejortoros.com/ )，您将看到：

如果您在主页上或单击其中一篇文章，它可以很好地导航。

但

如果你去Croonicas、Contactenos或Miembros部分，它会显示：远离！

我想了解它为什么会发生以及是否可能如何解决它？

谢谢。

我正在用 Python-tornado 构建一个 Web 服务器。服务器是提供一种关于某个国家所有餐馆的搜索服务。所以逻辑很简单：用户在网页上输入关键字并提交，服务器回复一些消息。总之，它就像一个迷你谷歌。

我也做了一个简单的日志。

在日志中，我可以看到大多数请求是这样的：

但令我惊讶的是，有一些要求如下：

我不明白这种请求是如何产生的。例如，如果我的 web 服务器的地址是www.example.com，并且我向它发送了一些 get 请求，它必须是这样的：www.example.com/abcd. 但是这个请求不是以 开头的/，怎么来的？

这是某种 XSS（跨站点脚本）吗？似乎有人试图通过我的网络服务器进行一些跨域请求。如果我是对的，我将过滤包含<script>. 我对吗？

我设计了一个 Web 应用程序，它使用非常简单的 JWT 令牌实现来提供身份验证/授权。

我的实施：

1. 有两种类型的 url 的公共和安全。
2. 公共 url 用于生成带有用户名/密码的令牌。

3. 我在安全 url 上添加了过滤器以检查授权标头和 JWT 令牌。

   }

4. 过滤器将验证令牌。我还没有添加到期日期。

   /li>

这提供了身份验证，并且它不受 CSRF 的影响。没有密钥，没有人可以创建有效的令牌。

我错过了对基于令牌的身份验证服务的其他攻击吗？

我最近看到了一些恶意域，包括我的网站页面。

我最初怀疑 iframe 包含，但我已经Header always set X-Frame-Options SAMEORIGIN在我的httpd.conf中进行了配置。

其他想法是关于恶意软件 Javascript，包括 DOM 中的远程页面，甚至是指向我的服务器 IP 的外部 DNS（但是，我有基于名称的虚拟主机）。它们都没有被证明。

调查远程域并查看 apache 日志向我们展示了现实：恶意远程服务器向我们发出 http 请求，对于它收到的每个请求，然后将结果发送回其客户端，实际上是“镜像”我们的网站！

我缺乏如何阻止它的想法。所以我通过 apache conf 完全阻止了它的 User-Agent：Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)

希望我自己解释。将来有没有更聪明的方法来阻止像他们这样的其他领域的这种不良行为？

在我们的 Web 应用程序上运行 Burp 安全套件后，我在一个页面中遇到了一个类似“外部服务交互”的问题，其中有一个用于获取电子邮件地址的文本框。把它想象成邀请其他人访问我们的网站。

该页面应该向用户输入的地址发送电子邮件，因此服务器将解析电子邮件地址中的域名，如 gmail.com、hotmail.com 等。

Burp Suite 说，这可以用作攻击代理。我们有机制来阻止对我们网站的 DDoS 攻击，从而减少我们网站上的攻击面。

还有哪些其他类型的攻击是可能的，我们应该部署哪些预防机制？

我们在应用程序中使用 ESAPI 安全层。我们还设计为从浏览器端传递的通配符搜索使用“%”字符。这是一个糟糕的选择，并且已作为遗留设计继承下来，以便轻松构建 sql 以在后端运行。

现在，输入中的“%”字符被 ESAPI 验证器拒绝，以防止双重编码攻击。我们正在积极寻求将 '%' 替换为 '*' 之类的想法。但在此期间，为了能够使用 '%' 进行通配符搜索，我们正在权衡这些选项中的选项：

1) 关闭 ESAPI 规范化器。（坏主意，为双重编码留下漏洞。）

2) 在安全层中，在过滤器通过之前，将所有 '%' 替换为某个不太可能的字符。然后换回来。（对此人们有不同的看法，有人认为这就像没有防御双重编码攻击一样好，其他人认为它有一些价值。）

3）在前端应用程序中，让用户输入'％'，但在提交到服务器之前将它们替换为'*'。将需要在 DAO 层中再次将 '*' 操作为 '%'。将需要在所有可以采用通配符输入的 UI 代码中进行最多的代码更改。

想请教如何最好地解决这个问题。感谢任何帮助。

为我们的网站建立了一个聊天程序。该程序的一部分确实允许网页评论区用于讨论该页面。

所以有一个文本输入，所以文本被输入并重新显示在页面上。
显然，这是有潜在风险的。

因此，为了使文本字符串输入安全地重新显示在网页上，我可以只禁止<和>字符及其编码的 xml 和十六进制等效项吗？

如果没有脚本标签，是否有任何其他潜在的攻击向量可以嵌入到文本字符串中？

通过一个流行的平台经营一家网上商店，并通过在几个字段中嵌入以下脚本获得了订单：名称、地址等。我试图了解该脚本的作用。我已经删除了它在此页面上运行的任何方式，我希望：

从最近几天开始，我的网站遭到了恶意攻击。当我打开一个站点http://site1.com时，它首先会重定向到另一个页面（可能是广告页面）。

在 Chrome 浏览器中，当我尝试通过控制台（F12）诊断问题时，我发现它显示了一个奇怪的错误。“加载资源失败：net::ERR_NAME_NOT_RESOLVED”，网址为 - https://js.localstorage.tk/s.js?crt=new。在进一步调查中，我发现它会在该特定服务器上每个网站的每个页面加载中注入以下脚本。（不是一个站点而是 3-4 个站点在同一台服务器上受到了相同的攻击）。

我还尝试使用以下各种“grep”命令在受感染网站的托管文件系统中找到此代码片段，但我找不到任何东西。

但没有恶意注入脚本的线索。数据库调查的结果相同。

当我在没有互联网的情况下通过 LAN 访问我的网站时，会出现同样的错误，并带有一些奇怪的 URL：

最糟糕的是，现在谷歌已将我的网站列入“危险”列表，并显示带有深红色背景的警告“前面的欺骗性网站”。

任何帮助...!!!