php怎么防止csrf

1、php怎么防止csrf，常见的web安全漏洞有哪些？

前言：

在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？本文主要侧重于分析几种常见的攻击的类型以及防御的方法。

一、XSS

XSS (Cross-Site Scripting)，跨站脚本攻击，因为缩写和 CSS重叠，所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。

跨站脚本攻击有可能造成以下影响:

利用虚假输入表单骗取用户个人信息。利用脚本窃取用户的Cookie值，被害者在不知情的情况下，帮助攻击者发送恶意请求。显示伪造的文章或图片。

XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

XSS 的攻击方式千变万化，但还是可以大致细分为几种类型。

1.非持久型 XSS（反射型 XSS ）

非持久型 XSS 漏洞，一般是通过给别人发送带有恶意脚本代码参数的 URL，当 URL 地址被打开时，特有的恶意代码参数被 HTML 解析、执行。

举一个例子，比如页面中包含有以下代码：

<select> <script> document.write('' + '<option value=1>' + location.href.substring(location.href.indexOf('default=') + 8) + '</option>' ); document.write('<option value=2>English</option>'); </script> </select>

攻击者可以直接通过 URL (类似：https://xxx.com/xxx?default=<script>alert(document.cookie)</script>) 注入可执行的脚本代码。不过一些浏览器如Chrome其内置了一些XSS过滤器，可以防止大部分反射型XSS攻击。

非持久型 XSS 漏洞攻击有以下几点特征：

即时性，不经过服务器存储，直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击，拿到用户隐私数据。攻击者需要诱骗点击,必须要通过用户点击链接才能发起反馈率低，所以较难发现和响应修复盗取用户敏感保密信息

为了防止出现非持久型 XSS 漏洞，需要确保这么几件事情：

Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。尽量不要从 URL，document.referrer，document.forms 等这种 DOM API 中获取数据直接渲染。尽量不要使用 eval, new Function()，document.write()，document.writeln()，window.setInterval()，window.setTimeout()，innerHTML，document.createElement() 等可执行字符串的方法。如果做不到以上几点，也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。前端渲染的时候对任何的字段都需要做 escape 转义编码。

2.持久型 XSS（存储型 XSS）

持久型 XSS 漏洞，一般存在于 Form 表单提交等交互功能，如文章留言，提交文本信息等，黑客利用的 XSS 漏洞，将内容经正常功能提交进入数据库持久保存，当前端页面获得后端从数据库中读出的注入代码时，恰好将其渲染执行。

举个例子，对于评论功能来说，就得防范持久型 XSS 攻击，因为我可以在评论中输入以下内容

主要注入页面方式和非持久型 XSS 漏洞类似，只不过持久型的不是来源于 URL，referer，forms 等，而是来源于后端从数据库中读出来的数据 。持久型 XSS 攻击不需要诱骗点击，黑客只需要在提交表单的地方完成注入即可，但是这种 XSS 攻击的成本相对还是很高。

攻击成功需要同时满足以下几个条件：

POST 请求提交表单后端没做转义直接入库。后端从数据库中取出数据没做转义直接输出给前端。前端拿到后端数据没做转义直接渲染成 DOM。

持久型 XSS 有以下几个特点：

持久性，植入在数据库中盗取用户敏感私密信息危害面广

3.如何防御

对于 XSS 攻击来说，通常有两种方式可以用来防御。

1) CSP

CSP 本质上就是建立白名单，开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则，如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。

通常可以通过两种方式来开启 CSP：

设置 HTTP Header 中的 Content-Security-Policy设置 meta 标签的方式

这里以设置 HTTP Header 来举例：

只允许加载本站资源

Content-Security-Policy: default-src 'self'

只允许加载 HTTPS 协议图片

Content-Security-Policy: img-src https://*

允许加载任何来源框架

Content-Security-Policy: child-src 'none'

如需了解更多属性，请查看Content-Security-Policy文档

对于这种方式来说，只要开发者配置了正确的规则，那么即使网站存在漏洞，攻击者也不能执行它的攻击代码，并且 CSP 的兼容性也不错。

2) 转义字符

用户的输入永远不可信任的，最普遍的做法就是转义输入输出的内容，对于引号、尖括号、斜杠进行转义

function escape(str) { str = str.replace(/&/g, '&') str = str.replace(/</g, '<') str = str.replace(/>/g, '>') str = str.replace(/"/g, '&quto;') str = str.replace(/'/g, ''') str = str.replace(/`/g, '`') str = str.replace(/\//g, '/') return str }

但是对于显示富文本来说，显然不能通过上面的办法来转义所有字符，因为这样会把需要的格式也过滤掉。对于这种情况，通常采用白名单过滤的办法，当然也可以通过黑名单过滤，但是考虑到需要过滤的标签和标签属性实在太多，更加推荐使用白名单的方式。

const xss = require('xss') let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>') // -> <h1>XSS Demo</h1><script>alert("xss");</script> console.log(html)

以上示例使用了 js-xss 来实现，可以看到在输出中保留了 h1 标签且过滤了 script 标签。

3) HttpOnly Cookie。

这是预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时，将其属性设为HttpOnly，就可以避免该网页的cookie被客户端恶意JavaScript窃取，保护用户cookie信息。

二、CSRF

CSRF(Cross Site Request Forgery)，即跨站请求伪造，是一种常见的Web攻击，它利用用户已登录的身份，在用户毫不知情的情况下，以用户的名义完成非法操作。

1. CSRF攻击的原理

下面先介绍一下CSRF攻击的原理：

完成 CSRF 攻击必须要有三个条件：

用户已经登录了站点 A，并在本地记录了 cookie在用户没有登出站点 A 的情况下（也就是 cookie 生效的情况下），访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。站点 A 没有做任何 CSRF 防御

我们来看一个例子： 当我们登入转账页面后，突然眼前一亮惊现"XXX隐私照片，不看后悔一辈子"的链接，耐不住内心躁动，立马点击了该危险的网站（页面代码如下图所示），但当这页面一加载，便会执行submitForm这个方法来提交转账请求，从而将10块转给黑客。

2.如何防御

防范 CSRF 攻击可以遵循以下几种规则：

Get 请求不对数据进行修改不让第三方网站访问到用户 Cookie阻止第三方网站请求接口请求时附带验证信息，比如验证码或者 Token

1) SameSite

可以对 Cookie 设置 SameSite 属性。该属性表示 Cookie 不随着跨域请求发送，可以很大程度减少 CSRF 的攻击，但是该属性目前并不是所有浏览器都兼容。

2) Referer Check

HTTP Referer是header的一部分，当浏览器向web服务器发送请求时，一般会带上Referer信息告诉服务器是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律，如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面，来判断是不是CSRF攻击。

但在某些情况下如从https跳转到http，浏览器处于安全考虑，不会发送referer，服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞，那么攻击者可以在其他网站注入恶意脚本，受害者进入了此类同域的网址，也会遭受攻击。出于以上原因，无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。

3) Anti CSRF Token

目前比较完善的解决方案是加入Anti-CSRF-Token。即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值，会进行校验该请求当中的token和cookie当中的token值是否都存在且相等，才认为这是合法的请求。否则认为这次请求是违法的，拒绝该次服务。

这种方法相比Referer检查要安全很多，token可以在用户登陆后产生并放于session或cookie中，然后在每次请求时服务器把token从session或cookie中拿出，与本次请求中的token 进行比对。由于token的存在，攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时，当某个页面消耗掉token后，其他页面的表单保存的还是被消耗掉的那个token，其他页面的表单提交时会出现token错误。

4) 验证码

应用程序和用户进行交互过程中，特别是账户交易这种核心步骤，强制用户输入验证码，才能完成最终请求。在通常情况下，验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验，网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段，在关键业务点设置验证码。

三、点击劫持

点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中，并将 iframe 设置为透明，在页面中透出一个按钮诱导用户点击。

1. 特点

隐蔽性较高，骗取用户操作"UI-覆盖攻击"利用iframe或者其它标签的属性

2. 点击劫持的原理

用户在登陆 A 网站的系统后，被攻击者诱惑打开第三方网站，而第三方网站通过 iframe 引入了 A 网站的页面内容，用户在第三方网站中点击某个按钮（被装饰的按钮），实际上是点击了 A 网站的按钮。接下来我们举个例子：我在优酷发布了很多视频，想让更多的人关注它，就可以通过点击劫持来实现

iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 2; -moz-opacity: 0; opacity: 0; filter: alpha(opacity=0); } button { position: absolute; top: 270px; left: 1150px; z-index: 1; width: 90px; height:40px; } </style> ...... <button>点击脱衣</button> <img src="http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg"> <iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no"></iframe>

从上图可知，攻击者通过图片作为页面背景，隐藏了用户操作的真实界面，当你按耐不住好奇点击按钮以后，真正的点击的其实是隐藏的那个页面的订阅按钮，然后就会在你不知情的情况下订阅了。

3. 如何防御

1）X-FRAME-OPTIONS

X-FRAME-OPTIONS是一个 HTTP 响应头，在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用 iframe 嵌套的点击劫持攻击。

该响应头有三个值可选，分别是

DENY，表示页面不允许通过 iframe 的方式展示SAMEORIGIN，表示页面可以在相同域名下通过 iframe 的方式展示ALLOW-FROM，表示页面可以在指定来源的 iframe 中展示

2）JavaScript 防御

对于某些远古浏览器来说，并不能支持上面的这种方式，那我们只有通过 JS 的方式来防御点击劫持了。

<head> <style id="click-jack"> html { display: none !important; } </style> </head> <body> <script> if (self == top) { var style = document.getElementById('click-jack') document.body.removeChild(style) } else { top.location = self.location } </script> </body>

以上代码的作用就是当通过 iframe 的方式加载页面时，攻击者的网页直接不显示所有内容了。

给大家推荐一个好用的BUG监控工具Fundebug，欢迎免费试用！

四、URL跳转漏洞

定义：借助未验证的URL跳转，将应用程序引导到不安全的第三方区域，从而导致的安全问题。

1.URL跳转漏洞原理

黑客利用URL跳转漏洞来诱导安全意识低的用户点击，导致用户信息泄露或者资金的流失。其原理是黑客构建恶意链接(链接需要进行伪装,尽可能迷惑),发在QQ群或者是浏览量多的贴吧/论坛中。安全意识低的用户点击后,经过服务器或者浏览器解析后，跳到恶意的网站中。

恶意链接需要进行伪装,经常的做法是熟悉的链接后面加上一个恶意的网址，这样才迷惑用户。

诸如伪装成像如下的网址，你是否能够识别出来是恶意网址呢？

http://gate.baidu.com/index?act=go&url=http://t.cn/RVTatrd http://qt.qq.com/safecheck.html?flag=1&url=http://t.cn/RVTatrd http://tieba.baidu.com/f/user/passport?jumpUrl=http://t.cn/RVTatrd

2.实现方式：

Header头跳转Javascript跳转META标签跳转

这里我们举个Header头跳转实现方式：

<?php $url=$_GET['jumpto']; header("Location: $url"); ?> http://www.wooyun.org/login.php?jumpto=http://www.evil.com

这里用户会认为www.wooyun.org都是可信的，但是点击上述链接将导致用户最终访问www.evil.com这个恶意网址。

3.如何防御

1)referer的限制

如果确定传递URL参数进入的来源，我们可以通过该方式实现安全限制，保证该URL的有效性，避免恶意用户自己生成跳转链接

2)加入有效性验证Token

我们保证所有生成的链接都是来自于我们可信域的，通过在生成的链接里加入用户不可控的Token对生成的链接进行校验，可以避免用户生成自己的恶意链接从而被利用，但是如果功能本身要求比较开放，可能导致有一定的限制。

五、SQL注入

SQL注入是一种常见的Web安全漏洞，攻击者利用这个漏洞，可以访问或修改数据，或者利用潜在的数据库漏洞进行攻击。

1.SQL注入的原理

我们先举一个万能钥匙的例子来说明其原理：

<form action="/login" method="POST"> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <p><input type="submit" value="登陆" /></p> </form>

后端的 SQL 语句可能是如下这样的：

let querySQL = ` SELECT * FROM user WHERE username='${username}' AND psw='${password}' `; // 接下来就是执行 sql 语句...

这是我们经常见到的登录页面，但如果有一个恶意攻击者输入的用户名是 admin' --，密码随意输入，就可以直接登入系统了。why! ----这就是SQL注入

我们之前预想的SQL 语句是:

SELECT * FROM user WHERE username='admin' AND psw='password'

但是恶意攻击者用奇怪用户名将你的 SQL 语句变成了如下形式：

SELECT * FROM user WHERE username='admin' --' AND psw='xxxx'

在 SQL 中,' --是闭合和注释的意思，-是注释后面的内容的意思，所以查询语句就变成了：

SELECT * FROM user WHERE username='admin'

所谓的万能密码,本质上就是SQL注入的一种利用方式。

一次SQL注入的过程包括以下几个过程：

获取用户请求参数拼接到代码当中SQL语句按照我们构造参数的语义执行成功

SQL注入的必备条件：

1.可以控制输入的数据2.服务器要执行的代码拼接了控制的数据。

我们会发现SQL注入流程中与正常请求服务器类似，只是黑客控制了数据，构造了SQL查询，而正常的请求不会SQL查询这一步，SQL注入的本质:数据和代码未分离，即数据当做了代码来执行。

2.危害

获取数据库信息管理员后台用户名和密码获取其他数据库敏感信息：用户名、密码、手机号码、身份证、银行卡信息……整个数据库：脱裤获取服务器权限植入Webshell，获取服务器后门读取服务器敏感文件

3.如何防御

严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害后端代码检查输入的数据是否符合预期，严格限制变量的类型，例如使用正则表达式进行一些匹配处理。对进入数据库的特殊字符（'，"，，<，>，&，*，; 等）进行转义处理，或编码转换。基本上所有的后端语言都有对字符串进行转义处理的方法，比如 lodash 的 lodash._escapehtmlchar 库。所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中，即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。六、OS命令注入攻击

OS命令注入和SQL注入差不多，只不过SQL注入是针对数据库的，而OS命令注入是针对操作系统的。OS命令注入攻击指通过Web应用，执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏，就可以执行插入的非法命令。

命令注入攻击可以向Shell发送命令，让Windows或Linux操作系统的命令行启动程序。也就是说，通过命令注入攻击可执行操作系统上安装着的各种程序。

1.原理

黑客构造命令提交给web应用程序，web应用程序提取黑客构造的命令，拼接到被执行的命令中，因黑客注入的命令打破了原有命令结构，导致web应用执行了额外的命令，最后web应用程序将执行的结果输出到响应页面中。

我们通过一个例子来说明其原理，假如需要实现一个需求：用户提交一些内容到服务器，然后在服务器执行一些系统命令去返回一个结果给用户

// 以 Node.js 为例，假如在接口中需要从 github 下载用户指定的 repo const exec = require('mz/child_process').exec; let params = {/* 用户输入的参数 */}; exec(`git clone ${params.repo} /some/path`);

如果 params.repo 传入的是 https://github.com/admin/admin.github.io.git 确实能从指定的 git repo 上下载到想要的代码。但是如果 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf /* && 恰好你的服务是用 root 权限起的就糟糕了。

2.如何防御

后端对前端提交内容进行规则限制（比如正则表达式）。在调用系统命令前对所有传入参数进行命令行参数转义过滤。不要直接拼接命令语句，借助一些工具做拼接、转义预处理，例如 Node.js 的 shell-escape npm包

以上就是常见的web安全漏洞及防御方法！

2、学什么语言比较好？

黑客的话不建议你学，因为要学的东西名字就能写个一千字的作文，你说的黑客是指入侵，入侵包括web和端口，先把要学的语言列一下，html，css，JavaScript，Java，PHP，Python，SQL，nosql，汇编，C语言这些就差不多了，然后要学习各种网络协议，比如http，HTTPS，ftp，smtp，ssh，Telnet，smb，rdp，WiFi，outh，等等吧，然后你要了解各种漏洞形成的原理比如SQL注入，xss，文件上传，CSRF，跨域请求，命令执行，文件包含，目录遍历，缓冲区溢出，整型溢出等等，还有就是你要理解CS和BS架构，比如用户client请求一个URL，经过TCP上的DNS，解析到目标服务器的负载均衡，再解析到中间件，服务器等等一堆名词，另外你要了解waf和防火墙的原理和使用，入侵检测系统原理和使用，木马病毒的原理和手工排查方式，另外呢你还要了解各种各样工具尤其是命令行工具的使用，比如nmap，sqlmap，burp，wvs,御剑，大马小马，wireshark，tcpdump，kali你要熟悉，另外你要熟悉Linux常见命令和工具，就啊要很熟练Linux系统，然后咱们说二进制的漏洞技术，包括漏洞挖掘技术和漏洞分析，漏挖主要靠模糊测试，你要了解个钟模糊测试软件和测试的原理，挖到漏洞你要会调试，绕过系统的内存保护机制，比如加载地址随机化，栈cookie，SEH，安全SEH，数据执行保护等等，你要了解他们的原理和绕过方法，脱壳的方法，学会逆向调试，然后你要了解编程语言在内存中编译成了什么样，才能利用Python写个脚本利用成功！最后呢渗透还要了解域渗透，内网横向移动，隧道封装技术，木马免杀等等，哦忘记说了，你还要了解主流的网站系统比如WordPress，discuz，织梦，帝国，thinkPHP，spring等等，服务器的话你要会配置Apache，NGINX，Tomcat之类的，如果你能熟练应用我上面说的技术，那你就不是脚本小子了，算是一名黑客了!加油

3、什么是代码审计？

加密钱包安全审计你的钱包是否安全？

近年来，数字钱包安全事件频发。

2019年11月19日，Ars Technica报道称两个加密货币钱包数据遭泄露，220万账户信息被盗。安全研究员Troy Hunt证实，被盗数据来自加密货币钱包GateHub和RuneScape机器人提供商EpicBot的账户。

这已经不是Gatehub第一次遭遇数据泄露了。据报道，去年6月，黑客入侵了大约100 个XRP Ledger钱包，导致近1000万美元的资金被盗。

2019年3月29日，Bithumb失窃事件闹得沸沸扬扬。据猜测，这次事件起因为Bithumb拥有的g4ydomrxhege帐户的私钥被黑客盗取。

随即，黑客将窃取的资金分散到各个交易所，包括火币，HitBTC，WB和EXmo。根据非官方数据和用户估计，Bithumb遭受的损失高达300万个EOS币（约1300万美元）和2000万个XRP币（约600万美元）以上。

由于数字货币的匿名性及去中心化，导致被盗资产在一定程度上难以追回。因此，钱包的安全性至关重要。

2020年8月9日，CertiK的安全工程师在DEF CON区块链安全大会上发表了演讲主题为：Exploit Insecure Crypto Wallet（加密钱包漏洞利用与分析）的主题报告，分享了对于加密钱包安全的见解。

加密钱包是一种帮助用户管理帐户和简化交易过程的应用程序。

有些区块链项目发布加密钱包应用程序来支持本链的发展——比如用于CertiK Chain的Deepwallet。

此外，还有像Shapeshift这样的公司，其构建了支持不同区块链协议的钱包。

从安全的角度来看，加密钱包最需重视的问题是防止攻击者窃取用户钱包的助记词和私钥等信息。

近一年来，CertiK技术团队对多个加密钱包进行了测试和研究，并在此分享针对基于软件不同类型的加密钱包进行安全评估的方法及流程。

加密钱包基础审计清单

要对一个应用程序进行评估，首先需要了解其工作原理→代码实现是否遵循最佳安全标准→如何对安全性不足的部分进行修正及提高。

CertiK技术团队针对加密钱包制作了一个基础审计清单，这份清单反映了所有形式的加密钱包应用（手机、web、扩展、桌面），尤其是手机和web钱包是如何生产和储存用户私钥的。

应用程序如何生成私钥？

应用程序如何以及在何处存储原始信息和私钥？

钱包连接到的是否是值得信任的区块链节点？

应用程序允许用户配置自定义区块链节点吗？如果允许，恶意区块链节点会对应用程序造成什么影响？

应用程序是否连接了中心化服务器？如果是，客户端应用会向服务器发送哪些信息？

应用程序是否要求用户设置一个安全性高的密码？

当用户试图访问敏感信息或转账时，应用程序是否要求二次验证？

应用程序是否使用了存在漏洞且可被攻击的第三方库？

有没有秘密（比如：API密钥，AWS凭证）在源代码存储库中泄漏？

有没有明显的不良代码实现（例如对密码学的错误理解）在程序源代码中出现？

应用服务器是否强制TLS连接？

手机钱包

相比于笔记本电脑，手机等移动设备更容易丢失或被盗。

在分析针对移动设备的威胁时，必须考虑攻击者可以直接访问用户设备的情况。

在评估过程中，如果攻击者获得访问用户设备的权限，或者用户设备感染恶意软件，我们需要设法识别导致账户和密码资产受损的潜在问题。

除了基础清单以外，以下是在评估手机钱包时要增加检查的审计类目：

应用程序是否警告用户不要对敏感数据进行截屏——在显示敏感数据时，安卓应用是否会阻止用户截屏？iOS应用是否警告用户不要对敏感数据进行截屏？

应用程序是否在后台截图中泄漏敏感信息？

应用程序是否检测设备是否越狱/root？

应用程序是否锁定后台服务器的证书？

应用程序是否在程序的log中记录了敏感信息？

应用程序是否包含配置错误的deeplink和intent，它们可被利用吗?

应用程序包是否混淆代码？

应用程序是否实现了反调试功能?

应用程序是否检查应用程序重新打包?

(iOS)储存在iOS Keychain中的数据是否具有足够安全的属性？

应用程序是否受到密钥链数据持久性的影响?

当用户输入敏感信息时，应用程序是否禁用自定义键盘?

应用程序是否安全使用“webview”来加载外部网站？

Web钱包

对于一个完全去中心化的钱包来说，Web应用程序逐渐成为不太受欢迎的选择。MyCrypto不允许用户在web应用程序中使用密钥库/助记词/私钥访问钱包，MyEtherWallet也同样建议用户不要这样做。

与在其他三种平台上运行的钱包相比，以web应用程序的形式对钱包进行钓鱼攻击相对来说更容易；如果攻击者入侵了web服务器，他可以通过向web页面注入恶意的JavaScript，轻松窃取用户的钱包信息。

然而，一个安全构建并经过彻底测试的web钱包依旧是用户管理其加密资产的不二之选。

除了上面常规的基础审计类目之外，我们在评估客户端web钱包时，还列出了以下需要审计的类目列表：

应用程序存在跨站点脚本XSS漏洞吗？

应用程序存在点击劫持漏洞吗？

应用程序有没有有效的Content Security Policy？

应用程序存在开放式重定向漏洞吗？

应用程序存在HTML注入漏洞吗？

现在网页钱包使用cookie的情况很少见，但如果有的话，应检查：

Cookie属性

跨站请求伪造（CSRF）

跨域资源共享（CORS）配置错误

该应用程序是否包含除基本钱包功能之外的其他功能? 这些功能存在可被利用的漏洞吗？

OWASP Top 10中未在上文提到的漏洞。

扩展钱包

Metamask是最有名和最常用的加密钱包之一，它以浏览器扩展的形式出现。

扩展钱包在内部的工作方式与web应用程序非常相似。

不同之处在于它包含被称为content script和background script的独特组件。

网站通过content script和background script传递事件或消息来与扩展页面进行交流。

在扩展钱包评估期间，最重要的事情之一就是测试一个恶意网站是否可以在未经用户同意的情况下读取或写入属于扩展钱包的数据。

除了基础清单以外，以下是在评估扩展钱包时要增加检查的审计类目：

扩展要求了哪些权限？

扩展应用如何决定哪个网站允许与扩展钱包进行交流？

扩展钱包如何与web页面交互？

恶意网站是否可以通过扩展中的漏洞来攻击扩展本身或浏览器中其他的页面？

恶意网站是否可以在未经用户同意的情况下读取或修改属于扩展的数据？

扩展钱包存在点击劫持漏洞吗？

扩展钱包（通常是background script）在处理消息之前是否已检查消息来源？

应用程序是否实现了有效的内容安全策略?

Electron桌面钱包

在编写了web应用程序的代码之后，为什么不用这些代码来建造一个Electron中桌面应用程序呢？

在以往测试过的桌面钱包中，大约80%的桌面钱包是基于Electron框架的。在测试基于Electron的桌面应用程序时，不仅要寻找web应用程序中可能存在的漏洞，还要检查Electron配置是否安全。

CertiK曾针对Electron的桌面应用程序漏洞进行了分析，你可以点击访问此文章了解详情。

以下是基于Electron的桌面钱包受评估时要增加检查的审计类目：

应用程序使用什么版本的Electron？

应用程序是否加载远程内容？

应用程序是否禁用“nodeIntegration”和“enableRemoteModule”？

应用程序是否启用了“contextisolation”, “sandbox” and “webSecurity”选项？

应用程序是否允许用户在同一窗口中从当前钱包页面跳转到任意的外部页面？

应用程序是否实现了有效的内容安全策略？

preload script是否包含可能被滥用的代码？

应用程序是否将用户输入直接传递到危险函数中(如“openExternal”)？

应用程序会使不安全的自定义协议吗?

服务器端漏洞检查列表

在我们测试过的加密钱包应用程序中，有一半以上是没有中心化服务器的，他们直接与区块链节点相连。

CertiK技术团队认为这是减少攻击面和保护用户隐私的方法。

但是，如果应用程序希望为客户提供除了帐户管理和令牌传输之外的更多功能，那么该应用程序可能需要一个带有数据库和服务器端代码的中心化服务器。

服务器端组件要测试的项目高度依赖于应用程序特性。

根据在研究以及与客户接触中发现的服务器端漏洞，我们编写了下文的漏洞检查表。当然，它并不包含所有可能产生的服务器端漏洞。

认证和授权

KYC及其有效性

竞赛条件

云端服务器配置错误

Web服务器配置错误

不安全的直接对象引用(IDOR)

服务端请求伪造(SSRF)

不安全的文件上传

任何类型的注入(SQL，命令，template)漏洞

任意文件读/写

业务逻辑错误

速率限制

拒绝服务

信息泄漏

总结

随着技术的发展，黑客们实施的欺诈和攻击手段也越来越多样化。

CertiK安全技术团队希望通过对加密钱包安全隐患的分享让用户更清楚的认识和了解数字货币钱包的安全性问题、提高警惕。

现阶段，许多开发团队对于安全的问题重视程度远远低于对于业务的重视程度，对自身的钱包产品并未做到足够的安全防护。通过分享加密钱包的安全审计类目，CertiK期望加密钱包项目方对于产品的安全标准拥有清晰的认知，从而促进产品安全升级，共同保护用户资产的安全性。

数字货币攻击是多技术维度的综合攻击，需要考虑到在数字货币管理流通过程中所有涉及到的应用安全，包括电脑硬件、区块链软件，钱包等区块链服务软件，智能合约等。

加密钱包需要重视对于潜在攻击方式的检测和监视，避免多次受到同一方式的攻击，并且加强数字货币账户安全保护方法，使用物理加密的离线冷存储（cold storage）来保存重要数字货币。除此之外，需要聘请专业的安全团队进行网络层面的测试，并通过远程模拟攻击来寻找漏洞。

4、零基础适合学习web前端吗？

当然都是可以的，web前端比起后端来说算是比较简单，但是要记忆的东西比较多。

前端主要就是Html、CSS、以及JavaScript。下面给大家介绍一下：

HTML 就是一种超文本标记语言。它可是实现我们对网页的简单制作，但是，制作渲染完成后的效果就像是下面所示的样子。

我们可以通过样式语言CSS，来实现对网页的美化。就像是这样。

但是大家看到的是一个静态的页面，没有一点的神气。想想我们平时看到的网页，大部分是不是会动，我们把这样的网页叫做动态的网页。在动态网页中，我们就要讲讲JavaScript了，比如头条的发表的标签，鼠标移上去会弹出一个小窗口，这个就是 JS 实现的效果啦。

这就是我们要学习的前端知识，今天我介绍的只是其中的冰山一角，其中还有许许多多琐碎的知识需要我们去学习，就好比学习英语单词一样，比较广，当你学习完大部分标签的时候，你就可以自己创造属于自己的网页啦~

我的头条文章中都有讲解。希望能帮助到楼主，有所学习的话，关注一下，我们共同努力。

感谢坚持关注的朋友~

世界很大，幸好有你~

欢迎在评论区留下你的问题或困惑，我将每天与你分享我的观点和心得。

聚焦最新科技咨讯，探寻未来智能领域，我是Mario女陶。

5、web课程培训哪个机构好？

在互联网时代，web软件开发是IT行业里非常重要的一个分支。目前已经发展到了web 2.0，使得用户和互联网有着非常紧密的关系，未来web 3.0和web4.0时代，将会给世界带来更大的创新，所以学习web开发，将是一个很有前途的发展方向。

1、目前流行的web开发语言

web开发分为前端和后端开发，前端开发所需要的知识包括Html、CSS和JavaScript等，

这些技术掌握起来比较容易，但是内容比较多和杂，所以我们需要进行大量的实践才能掌握。

当然，最重要的是JavaScript，目前的应用领域比较广泛。

后端开发所需的知识。包括PHP、Java、Python、C#等，这些编程语言使用范围非常广泛，也非常成熟，其中PHP在Web开发领域比较流行，且学习周期比较短。当然，Java和Python也是Web开发解决方案，其中Java语言已经流行很多年，具有较强的扩展性，而且在大型的互联网平台往往会选择Java开发方案。

2、web培训机构

目前市面上培训机构非常多，比如有名的兄弟连，黑马培训，csdn等等，可以说是鱼龙混杂的培训机构也非常多，所以在选择培训机构时，

主要参考几方面：

（1）培训课程

学习一门技术，一定要了解这门技术是否与时俱进，能不能满足当下客户的需求，在学习理论知识的情况下，是否有参与项目实践的课程，因为企业对web开发者的技术能力和动手实战能力有着非常高的要求，同时也决定你薪资的高低。

（2）师资力量

因为web开发技术知识的专业性较强，遇到一个好的讲师，不仅能带你在技术世界里遨游，同时会让你了解职场中的方方面面，对你未来

职业生涯非常有帮助。

（3）口碑及费用

IT口碑比较好的培训机构，学员对培训机构比较认可，机构会把精力放在了学员身上，才是真正对教育事业做贡献的。同时，也要了解培训费用，是否可以分期付费，了解利息情况等。

（4）就业状况

报名前，深入了解前几期学员就业情况，是否在大的互联网企业里就职，如阿里巴巴，百度，腾讯，今日头条等，反向可以看出机构的培训质量。