Web安全

已于 2022-07-03 18:45:38 修改
阅读量148 收藏 1
点赞数
分类专栏: Web开发 文章标签: 安全
于 2021-01-30 21:07:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lee_01/article/details/107925957
版权
本文探讨了Web安全中的关键漏洞如SQL注入、CSRF伪造、XSS攻击,以及如何通过过滤用户输入、HTTPS保护、验证码策略、滑动验证等手段进行防御。此外,还涵盖了DDoS攻击、DNS劫持和业务漏洞的防护措施。
摘要由CSDN通过智能技术生成

Web安全

漏洞和攻击手段

  • SQL注入
  • CSRF跨站请求伪造
  • XSS跨站脚本攻击
  • 分布式拒绝服务攻击(Distributed Denial of Service, DDos)攻击者不断地提出服务请求,让合法用户的请求无法及时处理
  • DNS劫持,DNS解析过程中篡改ip
  • 暴力破解
  • HTTP报头追踪漏洞,禁用http TRACE方法
  • 目录遍历漏洞
  • 命令执行漏洞
  • 文件上传漏洞
  • 业务漏洞:水平越权、垂直越权
  • 框架/应用漏洞

CSRF跨站请求伪造

在这里插入图片描述

  • 防护手段
    在这里插入图片描述

XSS跨站脚本攻击

在这里插入图片描述
防范:对用户输入内容进行过滤。

安全技术

HTTPS数字证书工作流程

在这里插入图片描述

验证码

  • 图形验证码
    • 输入型
    • 滑动型
    • 选择型
  • 短信验证码
  • 二维码验证
Lee_01
关注
专栏目录
《白帽子讲web安全》我的安全世界观
weixin_49472648的博客
03-21 3654
文章目录我的安全世界观前言安全工程师的核心竞争力白帽子的使命现状里程碑安全的本质安全三要素如何防范安全问题?安全评估步骤资产等级划分:威胁分析(确定攻击面):风险分析:设计安全方案白帽子兵法一、Secure By Default 原则二、Defense in Depth(纵深防御) 原则三、数据与代码分离原则四、不可预测性原则总结 我的安全世界观 前言 互联网本来是安全的,自从有了研究安全的人以后,就变得不安全了。 漏洞只是对破坏性功能的一个统称而已。 我们定义一个功能是否是漏洞,只看后果,而不应该看过
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
web安全
持续学习,坚持原创,分享技术笔记及经验。
03-12 4021
web应用 认证:验证用户是否合法, 比如登录密码认证,人脸认证,短信验证,指纹; 鉴权:验证用户的操作权限,对应角色,不同的角色拥有不同的权限; 审计:后台服务会记录用户的操作,方便日后追踪定责;比如对网站的恶意攻击者发起法律维权; XSS: 跨站脚本攻击; 利用浏览器漏洞,通过执行黑客编写的js脚本来。可以窃取用户的cookie 密码 按键轨迹; 防护:用户的一切输入皆不可信。验证用户的输入,黑名单,白名单。特别的如果通过过滤用户输入,比如过滤一切<javasrcipt>和
Web安全基本概念
weixin_43994244的博客
03-04 7303
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
常用Web安全工具
最新发布
tiantian1980的专栏
08-04 1550
nmap是一个免费开放的网络扫描和嗅探的工具包,也叫网络映射器.nmap强大之处在于简单.易用. 看一下nmap的基本功能探测一组主机是否在线扫描主机端口,嗅探所提供的网络服务.推断出主机所用的操作系统丰富的脚本功能Burp Suite是一款被网络安全专业人员广泛使用的安全工具,用于进行网站应用的安全测试。它由 PortSwigger 公司开发,提供免费和付费版本。Burp Suite 可以帮助发现网站应用中的漏洞,例如跨站脚本攻击 (XSS)、SQL 注入等。
常见六大Web安全问题
letianxf的博客
11-26 7414
一、 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS(因为缩写和 CSS重叠,所以只能叫 XSS),是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 原理 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私
Web安全之认证机制
java后端开发的博客,不仅仅是后端开发
07-13 2380
“认证”是很容易理解的一种安全手段,常见的认证方式就是用户名和密码。那么“认证”和“授权”是一回事吗?
Web安全学习资料(收藏)
Rnan_prince的博客
06-14 2434
很不错的web安全学习材料,推荐给大家: 网址:https://websec.readthedocs.io/zh/latest/#web
web安全 题目练习
qq_43613772的博客
07-16 2807
1、robots 题目链接:http://111.198.29.45:31667/ 首先看是robots直接在地址栏后方输入robots.txt进行查看,如下图所示: 显示最后一行不要慌张提交flag,还要做进一步操作,获得flag,如下图: 2、backup (题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!) 题目链接:http://111.198.2...
Web安全基础
weixin_50906078的博客
04-16 3789
一、HTTP协议 1、HTTP 什么是HTTP? 超文本传输协议,HTTP是基于B/S架构进行通信的,而HTTP的服务器端实现程序有httpd、nginx等,其客户端的实现程序主要 是Web浏览器,例如Firefox、InternetExplorer、Google chrome、Safari、Opera等 HTTP是基于客户/服务器模式,且面向连接的。典型的HTTP事务处理有如下的过程 (1)客户与服务器建立连接; (2)客户向服务器提出请求; (3)服务器接受请求,并根据请求返回相应的文件作为应答; (4
web安全基础
lixbao的博客
04-15 4105
HTTP原理 1、HTTP协议解析 Hyper Text Transfer Protocol(超文本传输协议)是万维网协会(World Wide Web Consortium)和Internet工作小组IETF(Internet Engineering Task Force)合作的结果,(他们)最终发布了一系列的RFC RFC 1945 HTTP/1.0 RFC 2616 HTTP 1.1 HTTP工作流程 首先客户机与服务器需要建立连接。单击某个超级链接,经过TCP三次握手后,HTTP的工作开始。
软件测试中WEB安全性测试
03-23
WEB软件测试中WEB安全性测试由于web应用于用户直接相关,又通常需要承受长时间的大量操作,因此web项目的功能和性能都必须经过可靠的验证。这就要经过web项目的全面测试。一个完整的WEB安全体系测试可以从部署与基础...
WEB安全深度剖析.pdf
07-05
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
白帽子讲web安全 azw3
03-02
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
白帽子讲Web安全(纪念版 (带书签高清文字版)
05-05
白帽子讲Web安全(纪念版 (带书签高清文字版)
“认证、授权”学习笔记
Lee_01的博客
02-21 1684
认证、授权 认证,Authentication 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。 常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。 授权,Authorization 授权是系统通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证通
前端点击按钮打印Excel
Lee_01的博客
01-06 1669
前端点击按钮打印Excel 实现思路 太长不看版 后端spire.xls将excel转为html,前端打印iframe 具体说明 前端只能打印html文档已有的dom节点,无法直接打印Excel,那么可以将Excel转换为html,在iframe中将html渲染出来,最后js调用打印接口就可以了。而转换这一步可以放在后端操作,实现工具库是 spire.xls ,pom看下面代码。 效果还可以 ???? 代码 后端 pom <dependency> <groupId>e-ice
NATAPP内网穿透使用笔记
Lee_01的博客
09-17 1310
目录 一、贫穷使我们相遇 1.注册后登录 2.购买免费隧道 3.配置隧道,将端口号改为8080,也可在上一步购买时指定 4.下载客户端解压 5.在加压后的目录下新建config.ini文件 6.运行natapp.exe 二、氪金就能变强 购买隧道 注册二级域名 隧道绑定二级域名 三、TCP内网穿透 一、贫穷使我们相遇 1.注册后登录 官网:https://natapp...
使用PhantomJS将html转换为PDF
Lee_01的博客
09-14 752
使用PhantomJS将html转换为PDF 官网:https://phantomjs.org/ 下载地址:https://phantomjs.org/download.html 使用案例:https://phantomjs.org/examples.html 转换使用的脚本:rasterize.js 使用步骤 下载压缩包并解压 命令行执行 cd path-to-phantomjs\bin phantomjs.exe ..\examples\rasterize.js URL filename # A4表
Web安全实践:工具篇
"Web安全实践完整版 - 书籍精华,涵盖Web安全实践方法和代码,适合论文和课题研究参考" 本文将深入探讨Web安全实践,介绍一些基础的工具和技术,帮助理解和提升在Web安全领域的实践能力。Web安全是网络安全的重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值