当前位置：首页 > 黑客服务 > 正文内容

运用HTTP Headers防护WEB进犯（Part3）

访客4年前 (2021-04-15)黑客服务912

之前发布的《运用HTTP Headers防护WEB进犯（Part1）》，《运用HTTP Headers防护WEB进犯（Part2）》中叙述了怎么运用HTTP Headers对WEB进犯进行防护，比方运用X-Frame-Options以及X-XSS-Protection。在本文中，咱们将探究怎么运用HTTP Headers捍卫咱们的Cookies。
简介
在用户会话中Cookies是一个非常重要的东西，一个身份验证的Cookies就适当所以暗码。捍卫这些身份验证的Cookies是一个非常重要的论题。在本文中，咱们将演示怎么在PHP运用中履行某些Cookies特点从而在某些进犯中维护咱们的Cookies。
运用HTTP Header维护Cookies
这是一个已知的现实，跨站脚本进犯是一个非常风险的缝隙，其能够让进犯者从用户浏览器窃取到Cookies。HttpOnly的引入能够禁用外部JavaScript脚本读取Cookies。即便运用程序自身存在XSS缝隙，只需敞开了HTTPOnly符号就无法读取Cookies。
现在咱们就打开上一篇文章中运用过的简略运用程序。
首要，调查HTTP呼应中的头信息
HTTP/1.1 200 OK
Date: Sun, 12 Apr 2019 15:07:14 GMT
Server: Apache/2.2.29 (Unix) mod_fastcgi/2.4.6 mod_wsgi/3.4 Python/2.7.8 PHP/5.6.2 mod_ssl/2.2.29 OpenSSL/0.9.8y DAV/2 mod_perl/2.0.8 Perl/v5.20.0
X-Powered-By: PHP/5.6.2
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: PHPSESSID=a2ed2bf468dd811c09bf62521b07a023; path=/
Content-Length: 820
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
正如咱们所见，在Set-Cookie头中没有额定的符号。假如该运用存在Xss缝隙那么进犯者就能够轻松获取到Cookies信息。
为了防止这种状况，咱们能够运用HTTPOnly符号。这使得咱们只能够经过HTTP协议来发送Cookies信息，而不能运用JavaScript。
启用HTTPOnly符号
如下示例代码片段中演示了在PHP运用中启用HTTPOnly符号的一种办法：
php
ini_set("session.cookie_httponly", "True");
session_start();
session_regenerate_id();
if(!isset($_SESSION['admin_loggedin']))
{
    header('Location: index.php');
}
if(isset($_GET['search']))
{
    if(!empty($_GET['search']))
    {
        $text = $_GET['search'];
    }
    else
    {
        $text = "No text Entered";
    }
}
?>

         charset="UTF-8">
        Admin Home
         rel="stylesheet" href="styles.css">



         id="home">
         id=text> id="text2">Welcome to Dashboard... You are logged in as: php echo $_SESSION['admin_loggedin']; ?> href="logout.php">[logout]
         action="" method="GET">
             id="search">
             id="text">Search Values type="text" name="search" id="textbox">

             type="submit" value="Search" name="Search" id="but"/>

             id="error"> id="text2">You Entered:php echo $text; ?>






从上面的代码片段中咱们能够看出下面这一行代码是用来敞开HTTPOnly的：
ini_set("session.cookie_httponly", "True");
接下来咱们就来看看在HTTPOnly符号敞开之后取得的HTTP头信息
HTTP/1.1 200 OK
Date: Sun, 12 Apr 2019 15:03:15 GMT
Server: Apache/2.2.29 (Unix) mod_fastcgi/2.4.6 mod_wsgi/3.4 Python/2.7.8 PHP/5.6.2 mod_ssl/2.2.29 OpenSSL/0.9.8y DAV/2 mod_perl/2.0.8 Perl/v5.20.0
X-Powered-By: PHP/5.6.2
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: PHPSESSID=36cb82e1d98853f8e250d89be857a0d3; path=/; HttpOnly
Content-Length: 820
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

[1] [2] [3] 黑客接单网

扫描二维码推送至手机访问。

本文链接：http://therlest.com/106095.html

分享给朋友：

返回列表

上一篇：Vegan-可以防护BeEF进犯的Chrome扩展插件

下一篇：黑客信息网：CTF-REVERSE练习之逆向初探

“运用HTTP Headers防护WEB进犯（Part3）” 的相关文章

贾秀东个人资料简介(简历及图片)

贾秀东人物概况本页面提供了贾秀东个人资料简介(简历及图片)，贾秀东是谁？贾秀东个人简介资料完整设计了网页求职找工作编辑个人简历作品所需要的贾秀东网站常用模板元素，不保证贾秀东人物数据真实，任何问题请联系管理员调整。贾秀东图片贾秀东个人资料简介贾秀东，中国国际问题研究所特聘研究员。1...

吃鸡鸭的屁股会有病吗?我非常爱吃鸡鸭的屁股,但经常吃会有病吗?另

吃鸡鸭的屁股会有病吗?我非常爱吃鸡鸭的屁股,但经常吃会有病吗?另鸡鸭的肛门附近组织，布满大大小小的腺体，各类秽物与毒素都在这些腺体囤积；鸡鸭的肛门也有非常高密度的大肠杆菌，所以鸡鸭的屁股不是少吃的问题,而是不能吃.吃得少可能没觉出怎样,多了问题就显出来了.而且鸡鸭屁股的大肠杆菌会随着蛋生出来的时...

身份证信息被黑客盗取（黑客能把手机内身份证信息盗取吗）

一、身份证信息被黑客盗取（黑客能把手机内身份证信息盗取吗）方法总结 1、黑客通过手身份姓名能否窃取别人银行卡里。朋友你好,这个问题不是这样理解的的,黑客是通过你的这些信息,破易你的银行卡号支付密码来盗取你的财物的,一般你只要不乱点链接,不轻易在手机。黑客控制了手机,窃取了身份证号码手机号姓名等所有...

鸡业行情网今日鸡价，鸡业行情网下载安装

河南：新乡肉鸡价格4点45：鸡架2点鸡肉7点鸡大腿鸡翅根8点鸡爪鸡翅尖鸡翅中鸡心鸡肝，其地址为http，除江苏地区苗鸡价格略涨，烟台网肉鸡价格4点65-4点75元/斤/wyimucom/down-15679html，1点00元/羽，点击“下载文件。以市斤为单位/羽菏泽鸡苗价格3点90-4点30元/...

纳智捷s5多少钱_纳智捷s5怎么样口碑

纳智捷如果销量再上不去可能就会退市了。维护保养不方便。虽然走的是高配低价路线但是油耗高，此情况发生了两次后来到4s店也没给，纳5这款车做工和质量.不仅损伤车子还非常的刺激心脏，你好，到二手市场问问对这款车的评价，内饰做工好一些。不要急于出手，售后方面是不是真的很差？真诚希望各.发动机动力弱，比纯国...

西安电脑黑客接单_怎么能找入侵蚊香社的黑客

sudo apt install g++-4.4SplashData剖析的这500万被走漏的暗码主要是北美和西欧的用户，成人网站走漏的暗码不包含在剖析陈述中。支撑（V4增强）所谓0day缝隙的在野运用，一般是进犯活动被捕获时，发现其运用了某些0day缝隙（进犯活动与进犯样本剖析自身也是0day缝隙...