《图解HTTP》读书笔记(11)第11章Web的攻击技术(关键词:HTTP/)

最新推荐文章于 2022-10-15 17:16:07 发布
最新推荐文章于 2022-10-15 17:16:07 发布
阅读量281 收藏
点赞数
分类专栏: 计算机网络 HTTP 《图解HTTP》读书笔记 文章标签: 读书笔记 HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33528613/article/details/78561125
版权

第11章 Web的攻击技术

11.1 针对Web的攻击技术

11.1.1 HTTP不具备必要的安全功能
11.1.2 在客户端即可篡改请求
11.1.3 针对Web应用的攻击模式

11.2 因输出值转义不完全引发的安全漏洞

11.2.1 跨站脚本攻击
11.2.2 SQL注入攻击
11.2.3 OS命令注入攻击
11.2.4 HTTP首部注入攻击
11.2.5 邮件首部注入攻击
11.2.6 目录遍历攻击
11.2.7 远程文件包含漏洞

11.3 因设置或设计上的缺陷引发的安全漏洞

11.3.1 强制浏览
11.3.2 不正确的错误消息处理
11.3.3 开放重定向

11.4 因会话管理疏忽引发的安全漏洞

11.4.1 会话劫持
11.4.2 会话固定攻击
11.4.3 跨站点请求伪造

11.5 其他安全漏洞

11.5.1 密码破解
11.5.2 点击劫持
11.5.3 DoS攻击
11.5.4 后门程序

参考文献:
1.《图解HTTP》。

HenryQWER
关注
专栏目录
学习笔记 图解HTTP 第六HTTP首部
雪月的博客
07-31 1086
HTTP报文首部 HTTP协议的请求和响应报文中必定包含HTTP首部。其提供所需要的信息给客户端和服务器。 HTTP请求报文 下图为请求报文的构成: 示例: GET /api/v1/zy?pageNo=1&pageSize=10 HTTP/1.1 Host: 121.41.5.5 Connection: keep-alive Accept: application/json, text/plain, / Access-Token:xxxxxx User-Agent: Mozilla/5.0 (W
图解HTTP读书笔记
qq_33309098的博客
01-11 827
前言 这是博文的前言,也是读书笔记的后记。本来只打算草草看看查漏补缺,但是实际上从这本书还是学到了非常多知识点,对HTTP有了比较系统的了解。 这本书本身非常可爱,图很多,有点像Head First系列的书(但是相比来说,还是HF更可爱一点)。 从这本书上,我学到了哪些呢(括号内为对应节)? 以前不太明白的零碎的知识,比如URL&URI(1.7),网关隧道(5.2),DOM是什么(10.2.2),XML有什么好处(10.4.1); HTTPS、SSL的加密过程,如何保证密钥安全传输(7.2); H
图解HTTP读书笔记——第十一
jingjingliang1995的博客
07-30 201
11 Web攻击技术 11.1 针对Web攻击技术 1)主动攻击:以服务器为目标,攻击者直接访问Web应用,把攻击代码传入,前提是攻击者需要能够访问到资源;代表是SQL注入攻击和OS命令注入攻击; 2)被动攻击:以服务器为目标,利用全套策略执行攻击代码; 11.2 因输出值转义不完全引发的安全漏洞 1)实施Web应用的安全对策大致有两部分:客户端的验证;Web应用端(服务器端)的...
http应答分割攻击
mgxcool的专栏
06-11 2641
phpbb上的一个比较经典的漏洞,估计这个攻击也是因为这个漏洞而来的,没见到在其它地方出现过这个漏洞。 产生原因大概是这样: phpbb会将用户请求中的参数放到response的refresh头中。 如: GET /a.php?url=test.php 那么response中就会多出如下一个refresh头: REFRESH:0;URL=http://SERVE
网址http格式的拆分
后台开发
06-13 1万+
今天要写一个接口,对网址进行http格式的拆分,这也算是http入门级的一个简单字符串处理操作。虽然算法不是很复杂,但其中的代码规范还是值得新手注意的。我下面的代码目的是从网址中获取host,并进行http请求的拼接。 #include #include #include void getHost(const char http[],char host[],char request[])//不
HTTP响应拆分攻击(CRLF Injection)
weixin_50464560的博客
07-03 4732
初识HTTP响应拆分攻击(CRLF Injection) 阅读量    105368 ...
因设置或设计上的缺陷引发的安全漏洞
AnitaSun的博客
04-12 245
强制浏览 从安置在Web服务器的公开目录下的文件中,浏览那些原本非自愿公开的文件。 影响: ● 泄露顾客的个人信息等重要情报 ● 泄露原本需要具有访问权限的用户才可查阅的信息内容 ● 泄露未外连到外界的文件 不正确的错误消息处理 Web应用的错误信息内包含对攻击者有用的信息 错误信息类型: Web应用抛出的错误消息:可以检测出用户名,邮箱是否注册等 数据库等系统抛出的错误消息:可以看到数据库的类型和SQL语句 系统抛出的错误集中在: ● PHP或ASP等脚本错误 ● 数据库或中间件的错误 ● Web
图解密码技术》笔记
最新发布
weixin_44894083的博客
10-15 1492
图解密码技术的学习
图解http》上野宣----读书笔记
Sunset_Pinkie的博客
03-22 3584
目录 第1 了解Web及网络基础 第2 简单的HTTP协议 第3 HTTP报文内的HTTP信息 第4 返回结果的HTTP状态码 第5HTTP协作的Web服务器 第6 HTTP首部 第7 确保Web安全的HTTPS 第8 确认访问用户身份的认证 第9 基于HTTP的功能追加协议 第10 构建Web内容的技术11 Web攻击技术
图解HTTP》笔记4确保Web安全的HTTPS
零下九度
11-30 1410
HTTP协议中有可能存在信息窃听或身份伪装等安全问题。使用HTTPS通信机制可以有效地防止这些问题。 HTTP的缺点 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 无法证明报文的完整性,所以有可能已遭篡改 HTTP+加密+认证+完整性保护=HTTPS        HTTPS并非是应用层的一种新协议。只是
HTTP响应拆分攻击的原理
wcj1840224162的博客
12-20 649
HTTP响应拆分攻击的原理HTTP响应拆分攻击代码示例 HTTP响应拆分攻击代码示例 Chinese%0d%0aContentLength:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContentType:%20text/html%0d%0aContentLength:%2029%0d%0a%0d%0a<html>Hacked by 你的名字 </html> 浏览器解析后: Location: …?language=Chinese Con
第十一 web攻击技术
会飞的大象的博客
09-25 246
11.1针对web攻击技术 HTTP不具备必要的安全功能,从整体来看,HTTP就是一个通用的单纯协议机制,安全性比较弱 1、在客户端即可篡改请求 在WEB应用中从浏览器接收到的HTTP请求的全部内容都可以在客户端自由的变更、篡改。因此web引用可能接收到与预期数据不相同的内容;在HTTP请求报文内加载攻击代码就能对web应用发起对web应用的攻击,如下图。 2、攻击模式分类 【主动攻击】 【被动...
深入浅出http拆分攻击
琦少的专栏
06-13 1943
以前习惯了些微博,和本地的读书笔记。这是入驻csdn博客后的第一篇文。 旨在于听取大家对问题的讨论,所谓集众的智慧。 再有分享一下自己的学习和研究心得,帮助存在同样需求的朋友。 下面言归正传,今天讨论的问题主要是http协议的,响应头拆分攻击。 众所周知,http协议通常情况是一个请求,对应着一个应答。 当然就像是一加一在算错的情况下还可以等于2。http请求在被攻击的时候也能由客户端
web攻击有哪些方式?小白需要知道的几种攻击方式
qq_23681041的博客
08-20 3283
Web攻击 在互联网中,攻击手段数不胜数,我们平时不能以自己只是普通的开发程序员而不是安全方向的开发者为理由,而不去掌握基本的 Web 攻击手段!我们来熟悉一下有哪几种常见的 Web 攻击手段 常见的 Web 攻击手段主要有 XSS 攻击、CSRF 攻击、SQL 注入攻击、DDos 攻击、文件漏洞攻击等。这几种攻击方式的防护手段并不复杂,却还是有很多企业遭受了该攻击,朔源到头,还是因为人为的疏忽。 一、XSS 攻击 XSS 攻击
浅谈HTTP响应拆分攻击(一)
weixin_33898233的博客
11-12 2195
在本文中,我们将探讨何谓HTTP响应拆分以及攻击行为是怎样进行的。一旦彻底理解了其发生原理(该原理往往被人所误解),我们就可以探究如何利用响应拆分执行跨站点脚本(简称XSS)。接下来自然就是讨论如果目标网站存在响应拆分漏洞,我们要如何利用这一机会组织CSRF(即跨站点伪造请求)攻击。最后,我们一起来看看哪些预防措施能够抵御这些攻击行为。如果大家对这个话题...
TCP/IP 分别在模型的哪一层?(关键词:计算机网络/TCP/IP)
热门推荐
Henry1991back的博客
12-11 1万+
1. TCP/IP 分别在模型的哪一层? TCP 在传输层(运输层); IP 在网络层(互联网层)。 参考文献: 《计算机网络(第 5 版)》 - Tanenbaum - 1.4 参考模型 - 1.4.1 OSI 参考模型 &amp;amp; 1.4.2 TCP/IP 参考模型 &amp;amp; 1.4.3 本书使用的模型,P32——P41。 ...
图解HTTP读书笔记(9)第9基于HTTP的功能追加协议(关键词HTTP/)
Henry1991back的博客
11-17 6713
第9 基于HTTP的功能追加协议9.1 基于HTTP的协议9.2 消除HTTP瓶颈的SPDY9.2.1 HTTP的瓶颈9.2.2 SPDY的设计与功能9.2.3 SPDY消除Web瓶颈了吗9.3 使用浏览器进行全双工通信的WebSocket9.3.1 WebSocket的设计与功能9.3.2 WebSocket协议9.4 期盼已久的HTTP/2.09.5 Web服务器管理文件的WebDAV9.5.
出现过多的close_wait可能是什么原因?(关键词:计算机网络/TCP/close_wait)
Henry1991back的博客
12-16 6191
出现过多的close_wait可能是什么原因? (首先需要注意的是,客户机、服务器均可以发起对 TCP 连接的关闭,以下以客户机发起关闭为例。) 什么是 close_wait:关闭 TCP 连接过程中,第 2、3 次挥手时,服务器发送了 ACK 报文段、FIN 报文段之后,服务器会进入 close_wait 状态。(具体是第 2 次挥手还是第 3 次挥手时,是发送了 ACK 报文段还是 FIN 报...
图解HTTP:从基础到Web安全
"图解HTTP是由日本作者上野宣编著,于均良翻译的一本深入浅出介绍HTTP协议的图书,属于图灵程序设计丛书。该书详细讲述了HTTP的发展历程,标准,通信过程,以及与Web安全相关的知识,并配有丰富的通信图例以帮助读者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值