web安全知识

已于 2023-10-21 09:38:14 修改
阅读量84 收藏
点赞数
分类专栏: 测试 登录认证 文章标签: web安全 安全
于 2023-10-21 09:35:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XinYuDaHai/article/details/133957548
版权

1. 什么是纵向越权、横向越权?

越权测试针对后台接口,分3类:未登录授权、横向越权(又叫水平越权)、纵向越权。

未登录授权:没有登录或者登录失效了,可以通过后台url或失效token直接访问系统数据。

横向越权(或水平越权):攻击者可以访问相同权限的其他用户资源。如,用户a登录了,但可以通过后台url访问用户b的数据。

纵向越权(或垂直越权):分向上(低权限可以操作高权限)和向下越权(高权限可以操作低权限)。如,普通用户登录了,后台没做权限控制,可以通过后台url访问管理员的数据。

心与大海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全知识
PatrickStar131的博客
11-10 3882
SQL注入: 原理: 指web应用程序对用户输入的数据合法性没有判断,导致攻击者可以构造不同的sql语句来对数据库数据库的操作。(web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把sql语句带进数据库中进行查询)。 Sql注入漏洞的产生需要满足两个条件: ①参数用户可控:前端传给后端的参数内容是用户可以控制的。 ②参数代入数据库查询:传入的参数拼接到sql语句,且带入数据库查询。 危害 ①数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。 ②网页篡改:通过操作数据库对...
web安全学习笔记
qq_40911864的博客
02-26 4607
web安全学习笔记 基础入门——基础概念 域名 什么是域名? 比如www.baidu.com,这就是一个域名,简单来说就是ip不好记,所以有了域名来方便记忆。通俗地讲,域名就是用户访问你的网站所使用的网址,相当于你家的通信地址,能够使访客方便快捷地访问你的网站 域名在哪里注册 域名注册建议大家去大的域名注册商,比如“腾讯云”和“阿里云”,因为大的域名服务商不管是安全还是服务上都有所保证。 域名注册是Internet中用于解决地址对应问题的一种方法。根据中国互联网络域名管理办法,域名注册服务机
WEB安全知识体系
weixin_51552620的博客
05-29 747
web安全所需的基本理论知识
Web安全知识体系总结
zp的博客
02-09 1万+
一、了解web安全 我们平时开发一般注重功能技术,而忽略了安全架构,对于怎么开发出一个安全的web项目,我认为有必要做一个学习与总结。 对于web安全,主要分为两大特性: ①私密性:数据不会被非法获取和利用,一般经过授权才可以访问。    ②可靠性:数据不会丢失、损坏、篡改。   对于安全问题,一般关注三个层面:①代码层面    ②架构层面   ③运维层面   二、常见的安全问题:...
Java开发必知的web安全常识
lonelymanontheway的博客
01-20 1953
目录 安全 定义 攻击 攻击分类 常见的Web攻击 SQL注入攻击 XSS攻击 CSRF攻击 传输劫持 文件上传漏洞 访问控制 DDOS攻击 SYN攻击 ...
一、web安全入门基础知识
weixin_45761101的博客
06-01 1万+
一、基础入门—概念名次 域名发现对应网安的意义? 一个网站的域名和他的子域名可能绑定于同一个IP地址,当我们进行漏洞扫描的时候他的主站没有找到漏洞那么我们就可以通过他子域名的网站绑定于同一个IP地址这个特点,对他的二级域名网站进行扫描,发现是否有漏洞,从而通过二级域名拿到主站的权限。 HOST文件和DNS有什么关系? 当我们进行IP地址解析的时候,我们电脑首先会通过本地host文件,去查找域名对应的IP地址。可以通过修改HOST文件当中的域名对应IP地址,例如让taobao.com对应的域名跳转到我们搭建的
Web安全入门基础知识(笔记)
热门推荐
Forget_liu的博客
03-27 2万+
域名就是网站地址的名称,例如顶级域名 baidu.com yuque.com 只有一个.域名二级域名 news.baidu.com tieba.baidu.com 加在顶级域名前的域名多级域名 test.news.baidu.com 加在在二级域名前的域名DNS是域名系统服务协议,主要用于域名和IP地址的相互切换例如在cmd命令控制台中可以通过 ping将域名解析成IP地址攻击者在得到权限后,留下后门文件方便下次进入;服务器后门,网站后门等等web使用的比较广web网站了漏洞相对较多。
Web安全常见基本知识
Layouwen的博客
03-08 5401
1、XSS 跨站式脚本攻击。Cross-Site Scripting。因为与 CSS 重名所以变更为 XSS。 反射性 通过在传参处植入代码,实现数据的传输。 存储型 借助存储能力,植入恶意代码。当用户读取该输入时,如果是直接运行到页面。就会把恶意脚本一并执行。 常见危害 获取页面数据 获取Cookies 劫持前端逻辑 发送请求 偷取网页数据 偷取用户信息 偷取用户的登录态 欺骗用户 防范方案 HEAD 通过添加 header 来禁止 XSS 过滤 ctx.set('X-XSS-Protection',
web安全——基础知识(计算机网络part1)
学习记录
03-01 7889
一、OSI七层模型 应用层 Application:网络应用程序及应用层协议留存(message) 表示层 Presentation:使通信的应用程序能够释放交换数据的含义 会话层 Session:提供数据交换定界和同步功能,包括建立检查点和恢复方案 运输层 Transport:在应用程序端点间传送用应用层报文(segment) 网络层 Network:将数据报(datagram)从一台主机移动到另一台主机 链路层 Link:相邻网络节点间传递帧(frame) 物理层 Physical:比特从一个节点移
网络安全-Web安全知识体系
03-24
Web安全知识体系思维导图
WEB安全知识总结.zip
12-27
WEB知识的快速入门知识,方便查阅知识点,常见WEB漏洞
web安全基础知识练习
01-21
web安全
Web安全知识技能书思维导图
07-18
Web安全部分有关于一些知识点的汇总整理,包含一部分入门书籍的推荐
WEB安全入门基础.pptx
08-24
WEB 安全入门基础 本资源摘要信息主要关注 WEB 安全入门基础,涵盖了 WEB 安全的基本概念、HTTP 协议、加密算法、DOS ...了解这些知识点可以帮助我们更好地理解 WEB 安全的基本概念,并且更好地进行 WEB 安全测试。
网络安全实战,如何利用Python监测漏洞
一个好知识的传播者
06-24 912
通过数据收集与预处理、漏洞扫描、漏洞分析、漏洞利用与验证以及漏洞修复与加固等步骤,可以快速地发现潜在的安全漏洞并进行修复和加固。1.丰富的库和工具:Python拥有大量的网络安全库和工具,如Scapy、Nmap、Python-nmap、Metasploit等,这些库和工具可以帮助安全研究人员快速编写出高效的网络扫描、漏洞分析、密码破解等脚本。在网络安全实战中,使用Python进行漏洞监测通常涉及多个阶段,包括数据收集、漏洞扫描、漏洞分析、漏洞利用(仅用于测试目的)以及漏洞修复。
网络安全之Windows提权(上篇)(高级进阶)
weixin_70911257的博客
06-21 1104
提权顾名思义就是提升我们的权限能够让我们去做更多的事,就好比皇帝跟大臣,很多事情只有皇帝能做,大臣做不了例如拟圣旨,掌管虎符,拥有所有人的生杀大权,我们提权的目的就是当皇帝,皇帝做的我们也能做。说一下我的渗透思路吧,首先通过对方服务器的各种漏洞将我们的一句话木马上传至对方的服务器然后通过各种渗透工具连接服务器拿到基本的shell权限,然后将权限提升至基本用户权限,再通过对方补丁漏洞提升至最高权限。
网络安全等级保护测评
hakksjss的博客
06-21 989
GB17859 计算机信息系统安全保护等级划分准则》 规定计算机信息系统安全保护等级共分五级 《中华人民共和国网络安全法》 “国家实行网络安全等级保护制度。
【等保】网络安全等级保护(等保2.0PPT)
最新发布
2302_79423711的博客
06-24 384
等保2.0(网络安全等级保护基本要求的第二代标准)的推出和实施,是基于多方面的考虑和需求。
Web安全学习笔记-lyle
04-27
这篇Web安全学习笔记涵盖了广泛的主题,旨在帮助读者理解并掌握Web安全的基础知识以及防范措施。笔记分为多个章节,详细讲解了从网络基础到高级安全概念的不同方面。 1. 序章: - Web技术的发展历程概述,包括Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值