关于WEB安全的知识,2024年最新白嫖党最爱

于 2024-04-16 07:13:35 发布
阅读量524 收藏 12
点赞数 15
分类专栏: 2024年程序员学习 文章标签: web安全 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83947194/article/details/137806307
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

2、存储型XSS:把用户的数据存储在服务端。也称为持久性XSS。比如黑客发表一篇含有恶意代码的文章,用户阅读后把恶意脚本存储在服务端。

3、DOM Based XSS:并非按照数据是否存储在服务端划分的,效果上来说是反射型的XSS。单独划分来说,比如构造一个事件,闭合源码的’且插入自己的JavaScript代码。第二个就是会闭合掉a然后使得触发另外的函数。

3.2 XSS攻击进阶

  • XSS Playload:攻击者攻击成功之后就会执行它的恶意代码,XSS Playload就是JavaScript代码。比如他会读取你的浏览器cookie对象,这也称为cookie劫持。可以通过HttpOnly标识防止cookie劫持

  • 构造GET请求和POST请求可能导致用户删除重要资料和文章。还可以利用这个来获取用户的账户密码等信息。

  • 非法获取用户的IP地址。因为很多时候用户的电脑都是使用了代理服务器,网站看到的IP地址其实是内网的出口IP地址。

3.3 XSS防御
  • HttpOnly:主要是为了解决XSS攻击后的cookie劫持攻击。

step1 :浏览器向服务器发送请求,这时候是没有cookie的

step2 :服务器返回set-Cookie头,向客户端浏览器写入Cookie

step3 :在该Cookie到期之前,浏览器访问该域下的所有页面都应该发送Cookie

  • 处理富文本:在标签选择上尽量选择白名单,避免使用黑名单

第四章 跨站请求伪造

攻击者在自己的域内伪造一个页面,比如删除某个博客的文章。然后诱使用户访问一个页面,就以该用户身份在第三方站点执行一次操作。

####CSRF防御

  • 验证码:CSRF攻击通常是用户在不知情的情况之下构造了网络请求,而验证码是用户必须与应用进行交互才能完成最终请求。

  • Referer Check :用于检查请求是否来自于合法的"源"。比如用户需要发帖就会登陆到后台,那么Referer这个值必然是发帖表单所在的页面。但是有一个缺陷,服务器并非什么时候都会去得到Referer。

  • Token:Token 需要同时放在表单中和session中,提交表但时,服务器要验证表单中的Token是否与用户session或者(cookie)中的Token是否一致。

  • token一定要足够随机

第五章 点击劫持

5.1 点击劫持

点击劫持其实就是利用视觉上的欺骗手段。攻击者使用一个不透明、不可见的iframe覆盖在网页上,

5.2 拖拽劫持和数据窃取

诱使用户从不可见的iframe中拖拽出攻击者希望得到的数据。

5.3 触屏劫持

  • touchstart

  • touchend

  • touchmove

  • touchcancel

5.4 防御ClickJacking
  • frame busting

写一段JavaScript代码防止iframe嵌套

  • X-Frame-Options

使用一个HTTP请求头,当值位DENY时浏览器拒绝加载当前页面任何frame页面;若值为sameorigin时允许加载同源页面下的页面;当值为allow-from origin时就允许加载页面的地址

第六章 HTML5安全

6.1 HTML5新标签

使用HTML5新增的标签,比如说video等用于远程加载资源的标签会存在XSS漏洞。

  • iframe的sandbox

为了限制iframe的脚本,为iframe定义了一个sandbox属性,将iframe所加载的内容视为一个独立的"源",其中的脚本被限制执行,表单被限制提交,插件被禁止加载。

  • postMessage----跨窗口传递信息

允许每一个window对象往其他的擦窗口发送文本信息,从而实现跨窗口消息传递,这个功能是不受同源策略限制。

第七章 注入攻击

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
img

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
[外链图片转存中…(img-vzDAsDgo-1713222804486)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_83947194
关注
  • 15
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全(一)——XSS
远走的兔子博客
05-06 2160
作为一名前端小白,之前并没有很关心过这个问题。对于web安全的认知只有记忆中大三网络安全课程中的零星点点。后来经历了几场面试,竟然都问到web安全相关的问题,遂查阅了一些资料,了解了相关知识。在此,记录下自己的一些理解和整理的相关资料。希望可以和大家分享,若有不正确之处,望指出。XSS又称为CSS(Cross Site Script),中文名称为跨站点脚本攻击。按照英文全称的缩写应该为CSS,但是...
浏览器Cookie详解
huangpb的博客
10-15 2万+
一、了解 Cookie Cookie最开始被设计出来是为了弥补HTTP在状态管理上的不足。HTTP协议是一个无状态协议,客户端向服务器发请求,服务器返回响应,故事就这样结束了,但是下次发请求如何让服务端知道客户端是谁呢?这种背景下,就产生了Cookiecookie 存储在客户端cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求被携带并发送到服务器上。因此,服务端脚本就可以读、写存储在客户端cookie的值。 cookie 是不可跨域...
Cookie浏览器的响应标Set-Cookie,而没有存储到浏览器的应用(Application)下的 Cookie
最新发布
这里主要记录一些学到的新知识
10-22 1082
本地调试接口浏览器的响应标Set-Cookie,而没有存储到浏览器的应用(Application)下的 Cookie中,问题的原因应该是:localhost与127.0.0.1混用了!!!
cookieset-cookie的区别及token值
z2768557792的博客
06-12 8102
请求中的cookie和响应set-cookie的关系 Set-Cookie中的属性Domain限定给域下设置ctoken,然后现在页面所在域却是natapp.cc,所以有ctoken,此网络没有ctoken值,这就造成通过前端使用方法获取不到ctoken值。网络请求中的cookieset-Cookie的交互模式和作用:1、当很多人访问统一网络服务器,服务器如何区分不同的用户sessionid,sessionid保证了浏览器和服务器唯一性的通信凭证号码,session保存在服务器上,sessionid
部分浏览器 set-cookie 不成功踩坑记录
heidou_2016的博客
11-05 6162
WEB应用中,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。公司正在做一个sso的单点登录的项目,做完之后,在测试阶段,不同的终端的兼容测试候,好几个不同的浏览器出现了不同的问题,有登录之后自动退出,有登陆不成功等问题。而最终引发问题的原因是 set-cookie 中的 samesite 的兼容性引起的。
吴翰清:白帽子讲Web安全
02-21
安全宝副总裁、前阿里巴巴集团高级安全专家吴翰清将携他的《白帽子讲Web安全》一书做客问答栏目。以下为采访正文:吴翰清(刺哥/总,大风哥),安全宝副总裁,前阿里巴巴集团高级安全专家。毕业于西安交通大学少班...
白帽子讲Web安全
01-16
《白帽子讲Web安全》内容简介:在互联网代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
白帽子讲Web安全高清完整PDF版
07-03
《白帽子讲Web安全》内容简介:在互联网代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
白帽子讲Web安全【高清】.pdf
07-24
白帽子讲解web安全 道哥原书pdf 安全入门
《白帽子讲Web安全》.pdf
12-11
《白帽子讲Web安全》.pdf 作者:吴翰清 电子工业出版社
HTTP-服务器端CooKie浏览器Cookie
热门推荐
柒青衿的博客
06-25 5万+
Cookie的来源由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。 Cookie的处理分为: 服务器像客户端发送cookie 浏览器cookie保存 之后每次http请求浏览器都会将cookie发送
set-cookie无法存入到浏览器cookie问题汇总
HenryXiao的博客
04-02 3万+
一、前言 最近在做一个前后端分离的自动化平台,由于环境部分还没搭建所以在本地启动前后端服务,开始接口联调,发现一个很有意思的问题,问了三个前端开发也没有解决;最后问题竟然出在一个小细节手中,还是要记录一下 前端地址:http://localhost:8080 后端地址:http://localhost:9090 二、后端基本代码配置 后端拦截器部分,不用多说做开发都应该知道 public ...
浏览器获取cookie的两种方式
qq_31148345的博客
02-09 1万+
1 用户登录成功后在放入session后,向用户的浏览器cookie中插入用户数据  //将用户信息放入session中session.setAttribute("user", select_user);//将用户信息通过response写入cookie//cookie 路径会默认使用mvc或者jsp所配置的项目路径作为cookie的存储文件夹//每次在修改浏览器cookie之后,1、重新设置过...
设置cookie值,浏览器set-cookie显示有内容,但没写入cookie(刷新没有cookie
hello,是翠花呀
01-10 1万+
技术栈:vue、axios、nodejs 目的:服务端设置cookie客户端浏览器中可以查看/获取cookie内容。 出现问题:服务端设置好了cookie信息,并且能在浏览器控制台中看到set-cookie内容。但是浏览器application中并没有写入cookie。 查找问题:nodejs和vue启动的端口不同,所以使用了cors跨域,影响了cookie的设置。 解决方法: nodejs中...
关于Set-Cookie中的值无法自动保存在浏览器中Cooike的解决方案(如何使用代理来解决)
weixin_43130233的博客
06-23 2539
关于Set-Cookie中的值无法自动保存在浏览器中的Cooikes的解决方案
Response中set-cookie里的值不能写入浏览器cookie的原因
qq_36561105的博客
12-30 2万+
今天遇到一个坑,发现请求响应中的set-cookie的值不能写入浏览器cookie中。 解决的办法是,响应中的 cookie 是带有 domain 属性的(domain=0.0.1),而从 Request URL 中可以看到,我们发起请求的域名是 leyou.com,请求和响应的 domain 不匹配,浏览器就帮你自动忽略了。 然后在后端进行修改,并设置了nginx中的信息,解决了这一问...
set-cookie 设置问题
weixin_42287935的博客
05-25 1万+
原文链接:PolarisHuster 从上面两个图我们可以看出,虽然浏览器端有cookie,为什么在发送list请求没有把本地的cookie带上呢,再看下面的截图: 上面两个截图我们可以看出,上面的list请求带上了Cookie信息,那么你不仅会疑问什么情况下http请求会把cookie带上,什么候http请求不带cookie信息呢,解答这个疑问之前先了解些cookie相关的基础性的东西: Set-Cookie响应字段(Response header)是服务器发送浏览器或者其他客户端的一些
走进Web安全:白帽子的视角
"《白帽子讲Web安全》是由吴翰清撰写的关于Web安全的专业书籍,旨在揭示互联网代数据安全和个人隐私面临的威胁,并提供理解和应对这些威胁的策略。本书通过作者多实战经验的分享,深入浅出地介绍了Web安全的各种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值