必须了解的Web安全知识(第一部分:HTTPS,TLS,SSL,CORS,CSP)
Table of Contents
艾哈迈德·阿特夫(Ahmed Atef)@ahmedatefae
什么是网络安全?
网络并非对每个用户都是安全的,每天我们都会听到有关网站由于拒绝服务攻击或在其页面上显示更改的信息而变得不可用的消息。
这些文章对于理解Web安全基础至关重要。
这些文章总结了最常见的攻击,并解释了每个Web应用程序应实施的对策。
本质上,这些文章为您提供了创建更好,更安全的Web应用程序所需的知识。
不同种类的Web安全性:
HTTPS
它是HTTP的安全版本,此协议的全称是Hypertext transfer protocol secure,它是用于在Web浏览器和网站之间发送数据的主要协议。
没有人可以访问数据,因为它使用TLS协议来加密通信,因此我将在下一主题中对其进行解释。
HTTPS如何工作?
《GnuTLS传输层安全性库》https://rtoax.blog.****.net/article/details/105714448
《使用libcurl提取大量TLS证书信息》https://rtoax.blog.****.net/article/details/105685056
它使用称为传输层安全性(TLS)的加密通信协议,称为安全套接字层(SSL)。
此加密使用两个**,一个命名为公用**,另一个命名为私钥。
- 公钥:在浏览器和网站之间共享。
- 私有**:此**用于解密由公共**加密的信息,并且不会在服务器之外共享。
TLS
它是使用最广泛的协议,旨在促进隐私和Internet上通信的数据安全性,TLS的用例是对应用程序与服务器之间的通信,电子邮件,使用消息传递语音(VoIP)进行加密。
TLS如何工作?
任何要使用TLS的应用程序或网站都必须通过发布给拥有域的个人或组织来在基础服务器上安装TLS认证(也称为“ SSL认证”),以将其安装在基础服务器上。
它包含有关所有者,私钥和公钥的非常重要的信息,可用于解密和加密通信。
此过程称为TLS握手????步骤:
- 确定会话期间将使用的TLS版本。
- 通过使用TLS证书验证服务器的身份。
- 握手过程结束后,生成会话**供会话期间使用。
为此,该主题需要进一步的说明,我将对此做文章,并在此处添加一个链接。
SSL协议
安全套接字层(SSL)是一种基于加密的Internet安全协议,它是Netscape公司于1995年为确保Internet连接的完整性和私密性而创建的,如今已将其命名为TLS。
SSL如何运作?
就像基于握手TLS概念的新TLS一样。
TLS和SSL有什么区别?
SSL是TLS的旧版本,在Internet工程任务组(IETF)成为Netscape之后成为SSL开发的所有者之后,该名称已更改,如今一些开发人员使用SSL和TLS来指代同一事物。
注意自1996年以来,SSL没有任何新更新,这使它非常容易受到黑客攻击,并且所有现代浏览器不再支持它,它们仅支持TLS。
CORS
跨域资源共享(CORS)是一种使用HTTP标头指定哪个外部来源可以访问本地资产以及如何访问本地资产的机制,这意味着我们可以为允许访问的跨域资源创建白名单。我们的资产。
服务器必须有一种方法来处理外部请求,这就是我们现在要讨论的内容。
CORS如何运作?
-
当站点发出获取请求以从out服务器获取资源时,浏览器会添加一个包含源的标头,例如example
Origin: http://www.example.com。 -
服务器接收预检请求,并在白名单中搜索有关给定来源的Access-Control-Allow-Origins,然后发送给浏览器选项调用,然后浏览器将确定实际请求是否可以安全发送,例如
Access-Control-Allow-Origin: http://www.example.com否则此标头Access-Control-Allow-Origin: *将允许任何请求占用资源。 -
如果服务器指定方法,它将把请求方法与其示例进行比较
Access-Control-Allow-Methods: PUT, DELETE。
CSP
内容安全策略是一个更高的安全层,可帮助检测和缓解各种类型的民兵攻击,例如(跨站脚本(XSS),数据注入攻击,ClickJacking,ETC等)。
-
跨站点脚本(XSS):它是一个漏洞,允许黑客在基本网站中注入民兵代码,并且用于使客户端执行该代码以获取敏感数据,例如Cookie,会话信息和特定于站点的信息由于Web应用程序未使用足够的验证或编码,因此用户的浏览器无法检测到恶意脚本不可信。
-
数据注入攻击:数据注入攻击是一种恶意代码,注入到网络中,该恶意代码从数据库中获取所有信息给攻击者,而其中的第一类是SQL注入。
-
单击Jacking:或“ UI补救攻击”是指攻击者诱使用户在单击顶层时诱使用户单击另一个使用多个透明或不透明层的页面上的按钮或链接。
CSP如何工作?
它使用了指令概念,每个指令都必须指定可以从何处加载资源,从而防止浏览器从任何其他位置加载数据。
最常用的指令是:
-
default-src:默认的加载策略(JavaScript,图像,CSS,AJAX请求,ETC ...)示例
default-src ‘self’ cdn.example.com; -
img-src:定义图像示例的源
img-src ‘self’ img.example.com; -
style-src:定义CSS文件示例的源
style-src ‘self’ css.example.com; -
script-src:定义JavaScript文件示例的源
script-src ‘self’ js.example.com; -
connect-src:为XMLHttpRequest(AJAX),WebSockets或EventSource定义有效的目标,如果它与主机建立了任何连接,这在这里是不允许的,那么浏览器将以400错误的示例进行响应
connect-src ‘self’; -
多标签指令定义:
default-src ‘none’; script-src ‘self’; connect-src ‘self’; img-src ‘self’; style-src ‘self’;
结论:
我希望我已经实现了该主题的重要性,并且向您解释了在这一广泛领域中进步和获得知识的第一步,并且我将在本系列中定期添加有关此主题的任何新信息,以便本系列的所有发展地区保持同步。
不要忘记阅读有关该主题的文章的以下补充内容。
如有任何疑问,请随时与我联系或在评论中保留。
看到类似的作品,也为每一个开发人员或研究人员的知识很重要,你可以按照我上的各种社交网络????做到这一点的YouTube,Twitter的,LinkedIn ????