关于WEB安全的知识

已于 2024-04-29 03:05:55 修改
阅读量201 收藏 10
点赞数 4
分类专栏: 程序员 文章标签: web安全 安全
于 2024-04-29 03:05:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84300859/article/details/138297728
版权
3.2 XSS攻击进阶

  • XSS Playload:攻击者攻击成功之后就会执行它的恶意代码,XSS Playload就是JavaScript代码。比如他会读取你的浏览器cookie对象,这也称为cookie劫持。可以通过HttpOnly标识防止cookie劫持

  • 构造GET请求和POST请求可能导致用户删除重要资料和文章。还可以利用这个来获取用户的账户密码等信息。

  • 非法获取用户的IP地址。因为很多时候用户的电脑都是使用了代理服务器,网站看到的IP地址其实是内网的出口IP地址。

3.3 XSS防御
  • HttpOnly:主要是为了解决XSS攻击后的cookie劫持攻击。

step1 :浏览器向服务器发送请求,这时候是没有cookie的

step2 :服务器返回set-Cookie头,向客户端浏览器写入Cookie

step3 :在该Cookie到期之前,浏览器访问该域下的所有页面都应该发送Cookie

  • 处理富文本:在标签选择上尽量选择白名单,避免使用黑名单

第四章 跨站请求伪造

攻击者在自己的域内伪造一个页面,比如删除某个博客的文章。然后诱使用户访问一个页面,就以该用户身份在第三方站点执行一次操作。

####CSRF防御

  • 验证码:CSRF攻击通常是用户在不知情的情况之下构造了网络请求,而验证码是用户必须与应用进行交互才能完成最终请求。

  • Referer Check :用于检查请求是否来自于合法的"源"。比如用户需要发帖就会登陆到后台,那么Referer这个值必然是发帖表单所在的页面。但是有一个缺陷,服务器并非什么时候都会去得到Referer。

  • Token:Token 需要同时放在表单中和session中,提交表但时,服务器要验证表单中的Token是否与用户session或者(cookie)中的Token是否一致。

  • token一定要足够随机

第五章 点击劫持

5.1 点击劫持

点击劫持其实就是利用视觉上的欺骗手段。攻击者使用一个不透明、不可见的iframe覆盖在网页上,

5.2 拖拽劫持和数据窃取

诱使用户从不可见的iframe中拖拽出攻击者希望得到的数据。

5.3 触屏劫持

  • touchstart

  • touchend

  • touchmove

  • touchcancel

5.4 防御ClickJacking
  • frame busting

写一段JavaScript代码防止iframe嵌套

  • X-Frame-Options

使用一个HTTP请求头,当值位DENY时浏览器拒绝加载当前页面任何frame页面;若值为sameorigin时允许加载同源页面下的页面;当值为allow-from origin时就允许加载页面的地址

第六章 HTML5安全

6.1 HTML5新标签

使用HTML5新增的标签,比如说video等用于远程加载资源的标签会存在XSS漏洞。

  • iframe的sandbox

为了限制iframe的脚本,为iframe定义了一个sandbox属性,将iframe所加载的内容视为一个独立的"源",其中的脚本被限制执行,表单被限制提交,插件被禁止加载。

  • postMessage----跨窗口传递信息

允许每一个window对象往其他的擦窗口发送文本信息,从而实现跨窗口消息传递,这个功能是不受同源策略限制。

第七章 注入攻击

7.1 SQL注入

本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。

最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。

最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84300859
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小程序反编译脚本.zip
09-09
1.需要node环境支持 2.下载模拟器->微信->搜索你要扒取的小程序(点开即可) 3.打开RE文件管理器,获取root权限,从根目录开始。/data/data/com.tencent.mm/MicroMsg/.../appbrand/pkg/,路径中有一段...,这里表示不确定具体一个,一般是很长的数字和字母组成的文件,拿到后发送倒电脑中。 4.执行反编译命令,node wuWxapkg.js filepath 百度也有很多教程,基本大致相同,但是很多反编译脚本缺少依赖,无法完成反编译。
网络安全-Web安全知识体系
03-24
Web安全知识体系思维导图
WinSCP本地安装部署并结合内网穿透实现远程连接服务器
bushibrnxiaohaij的博客
12-25 4636
​Winscp是一个支持SSH(Secure SHell)的可视化SCP(Secure Copy)文件传输软件,它的主要功能是在本地与远程计算机间安全地复制文件,并且可以直接编辑文件。​ 可视化操作就是直接把文件从本机拖入,打开文件直接双击即可。软件特性支持协议众多:SSH ,FTP、SFTP、FTPS、SCP。友好的图形操作界面,设置可以在选项界面中更改皮肤。与 Windows 完美集成(拖拽, URL, 快捷方式)内置文本编辑器。
WinSCP保姆级讲解用法含(“如何解决中文乱码,图片打开不了“)附下载链接
weixin_45929045的博客
03-28 8477
上诉步骤 完成之后就可以正常访问了 ,【解释一下 为什么要开启UTF-8】第一步是:【右键 】-【文件协议】-【ftp】-【输入主机端ip】第三步是:【高级】-【utf-8选择开启】不开启的话中文目录&文件夹会乱码的**第二步是: 【账号】-【密码】
可视化文件编辑与SSH传输神器WinSCP如何公网远程访问本地服务器
Aron的博客
10-31 2829
​Winscp是一个支持SSH(Secure SHell)的可视化SCP(Secure Copy)文件传输软件,它的主要功能是在本地与远程计算机间安全地复制文件,并且可以直接编辑文件。​ 可视化操作就是直接把文件从本机拖入,打开文件直接双击即可。软件特性支持协议众多:SSH ,FTP、SFTP、FTPS、SCP。友好的图形操作界面,设置可以在选项界面中更改皮肤。与 Windows 完美集成(拖拽, URL, 快捷方式)内置文本编辑器。
java运行环境安装及配置教程
汉堡请不要欺负面条
11-20 5万+
用来进行web开发的工具有很多,Tomcat是其中一个开源的且免费的java Web服务器,是Apache软件基金会的项目。电脑上安装配置Tomcat的方法和java有些相同,不过首先需要配置好java的环境才行。 一.java环境的配置 1.下载安装java JDK,注意安装的路径,我们需要进行环境变量的配置 (安装jdk 随意选择目录 只需把默认安装目录 \java 之前的目录修改即可)
web安全基础知识练习
01-21
web安全
WEB安全知识总结.zip
12-27
WEB知识的快速入门知识,方便查阅知识点,常见WEB漏洞
安全Web安全学习笔记
02-26
说来惭愧,6年的web编程生涯,一直没有真正系统的学习web安全知识(认证和授权除外),这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文...
WEB安全深度剖析.pdf
07-05
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
微信小程序逆向 小程序包使用unveilr工具解包后在开发者工具报[ WXML 文件编译错误] xxx.wxs Unexpected token `}`
没有简介就是简介
08-22 3395
很简单,因为是解包出来的,一般代码都是没有错的,我们只需要微信微信开发者工具中的资源管理器或者其他地方,找到这个文件,然后对这个文件里面的代码进行格式化文档,保存之后就不会报错了。微信小程序逆向 使用解包工具后后在开发者工具报[ WXML 文件编译错误] xxx.wxs Unexpected token。页面上则报编译.wxml文件错误…
WinSCP 集成 putty(也可以其他Terminal客户端)
学无止境
10-18 1070
它允许用户在本地计算机和远程计算机之间安全地传输文件,同时提供了用户友好的图形用户界面,使文件传输变得非常方便。:WinSCP 支持多种文件传输协议,包括SFTP、SCP、FTP 和 FTPS,这使得它适用于不同类型的服务器和网络环境。:PuTTY 允许用户设置端口转发,以便在本地主机和远程主机之间建立安全的通信通道,这对于加密流量和访问远程服务非常有用。:WinSCP 提供了用户友好的图形界面,使用户能够轻松地浏览、上传和下载文件,以及执行其他文件管理任务。
matinal:linux管理工具:WinSCP使用教程
matinal 當冬夜漸暖 。公众号:matinal
08-31 1838
如果你购买的云主机或VPS主机是Linux系统,会发现与原来的虚拟主机想比,有些用不来,因为管理主机需要登录SSH。使用WinSCP的前提是你购买的主机必须支持SSH协定,WinSCP可以通过SFTP协议连接到远程主机,并以文件目录和列表的形式展现,如果对SFTP命令非常熟悉的话,那么可以放弃WinSCP,Putty命令可以完成所有的操作。现在的VPS或云主机都有一键安装包和主机面板,所以WinSCP的作用就小了很多,它除了删除,上传下载,移动,修改,压缩,解压缩文件,我实在想不出它还有什么别的作用。
微信小程序反编译
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
01-09 2458
链接:https://pan.baidu.com/s/1Zl3hcThqzcYOzFdzKhKyMw?反编译后,会在当前目录下生成一个 _APP_文件夹,这里面就是小程序源码。这样小程序的源码就被我们反编译出来了,全局搜索匹配关键字搭配代码审计即可。退到上一级目录,在WeChat Files目录下找到Applet目录。然后使用开发者工具打开,导入小程序源码。小程序源码查看工具:微信开发者工具。其中以 wx开头的就是小程序文件夹。反编译工具:unveilr。将要反编译的文件夹路径复制。
WinSCP使用教程
m0_72065741的博客
06-08 1699
WinSCP传输文件,SSH服务安装,防火墙基本操作
2024年全国职业技能大赛“网络安全赛项”国赛 模块B 任务解析(超详细)_2024年全国职业院校技能大赛高职组“网络空间安全(1)
最新发布
2401_84247559的博客
04-26 369
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
【VX小程序逆向】房*下小程序pseusign参数分析
MANKVIS的博客
04-11 3100
经过来回删除恢复参数的方式,得出 pseusign 参数尤为重要,直接分析小程序代码。使用 Charles 软件进行抓包,详细过程就不细说了,直接贴上抓包结果。使用微信小程序开发工具导入解包后的代码,直接编译运行,会得到以下错误信息。为函数的第 2 个参数,是一个对象,多调试几次就知道是接口的请求参数。对在 PC 端拿到的小程序文件进行解密,参考上述文章即可。为函数的第 1 个参数,是一个 URL 地址。来获取小程序的代码,不过后面在使用。,使用过程也很简单,简单演示下。继续编译允许,继续报错,内容如下。
全网最详细的idea安装教程,图文详解
热门推荐
振华OPPO的博客世界
01-23 13万+
IDEA 全称 IntelliJ IDEA,是java编程语言开发的集成环境。IntelliJ在业界被公认为最好的java开发工具,尤其在智能代码助手、代码自动提示、重构、JavaEE支持、各类版本工具(git、svn等)、JUnit、CVS整合、代码分析、 创新的GUI设计等方面的功能可以说是超常的。IDEA是JetBrains公司的产品,这家公司总部位于捷克共和国的首都布拉格,开发人员以严谨著称的东欧程序员为主。它的旗舰版本还支持HTML,CSS,PHP,MySQL,Python等。
教你winscp使用教程
zyhang666的博客
05-31 3411
很多人不清楚winscp是什么,它是一个Windows环境下使用SSH的开源图形化SFTP客户端,主要功能就是在本地与远程计算机间安全的复制文件,也是刷机必备软件之一。2. Host name 处填入主机IP,再填入用户名、密码。选Login登录,也可以选save保存这个连接,方便以后使用。3. 登录后是这样,左侧本机,右侧连接的Linux系统。5. 复制文件非常简单,直接选中文件拖到另一侧即可。1. 打开winscp软件,选择New,新建连接。以上便是winscp的使用方法,希望能帮到大家。
web安全都要学哪些知识
04-15
对于web安全,需学习以下知识: 1.网络安全基础知识,包括攻击类型,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等 2.对Web应用程序的安全威胁进行分析,并掌握相应的防护技术 3.使用编程语言编写安全代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值