安全基础——常见编码_URL编码、Base64编码、html编码

最新推荐文章于 2022-11-07 23:39:36 发布
最新推荐文章于 2022-11-07 23:39:36 发布
阅读量813 收藏
点赞数
分类专栏: # 踩坑记录 文章标签: 字符串 url 安全 编码 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/114791604
版权

文章目录

一、URL编码

由于URL只支持英文字母数字横杠下划线句点波浪线,若要表示其他字符则需要编码

例如:百分号中文

由于百分号也需要编码,因此会出现某些绕过问题

URL编码基于ASCII,如果字符有ASCII码,编码成%+ASCII的形式;如果字符没有ASCII码,先根据当前页面的编码方式转换,取其十六进制形式每两位添加%

二、Base64编码

Ⅰ、对照表

Base64有64个字符,对照表如下:

序号字符
0A
25Z
26a
51z
520
619
62+
63\

Ⅱ、编码过程

首先将给定的字符串转换成对应的字符编码,取二进制形式;接着每3个8bit分为一个大组,共24bit;对每一大组划分成四个小组,每个小组有6bit;若不够补0;将每个6bit小组查表转换成Base64字符,若补0能凑得字符A(即:补了一整个小组的0)则换成等号

三、html编码

对于某些危险字符,html会将其视为标签,因此使用特殊的编码区分,这些编码叫html字符实体

w3s:HTML实体符号参考手册

Ho1aAs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[完整][中文][WEB安全测试].(美)霍普.扫描版.pdf
12-07
[WEB安全测试].(美)霍普.扫描版.pdf (美)霍普 等 著 傅鑫 等 译 出 版 社:清华大学出版社 ISBN:9787302219682 出版时间:2010-03-01 版  次:1 页  数:281 装  帧:平装 开  本:16开 所属分类:图书 > 计算机与互联网 > 计算机安全 内容简介   在你对Web应用所执行的测试中,安全测试可能是最重要的,但它却常常是最容易被忽略的。本书中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查最常见Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你的常规测试套装中。   本书中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在本书的最后,你将能够建立精确定位到Ajax函数的测试,以及适用于常见怀疑对象(跨站式脚本和注入攻击)的大型多级测试。   本书将帮助你:   ·获取、安装和配置有用的——且免费的——安全测试工具   ·理解你的应用如何与用户通信,这样你就可以在测试中更好地模拟攻击   ·从许多不同的模拟常见攻击(比如SQL注入、跨站式脚本和操纵隐藏表单域)的方法中进行选择   ·作为自动化测试的出发点,通过使用秘诀中的脚本和例子,使你的测试可重复   不用再担心午夜来电话告诉你站点被破坏了。通过本书和示例中所用的免费工具,你可以将安全因素加入到你的测试套装中,从而得以睡个安稳觉。 作者简介   Paco Hope,是Cigital公司的一名技术经理,《Mastering FreeBsD and 0penBsDsecurity》 (由O’Reilly出版)的合著者之一。他也发表过有关误用、滥用案例和PKI的文章。他曾被邀请到会议就软件安全需求、Web应用安全和嵌入式系统安全等话题发表演讲。在Cigital,他曾担任MasterCard Internationa!在安全策略方面的主题专家,而且曾协助一家世界500强的服务业公司编写软件安全策略。他也为软件开发和测试人员提供软件安全基础方面的培训。他还曾为博彩业和移动通信行业中的几家公司提出过软件安全方面的建议。Paco曾在威廉玛丽学院主修计算机科学和英语,并从弗吉尼亚大学获得计算机科学方面的理学硕士学位。   Ben Waltller,是Cigital公司的一名顾问,Edit C00kies工具的开发者之一。他同时参与标准质量保证和软件安全方面的工作。他日复一日地设计和执行测试一一因此他理解忙碌的QA领域对简单秘诀的需求。他也曾对开放式Web应用程序安全项目(0WAsP)的成员就w曲应用测试工具发表过演讲。 目录 序 1 前言 3 第1章 绪论 13 1.1 什么是安全测试 13 1.2 什么是Web应用 17 1.3 Web应用基础 21 1.4 Web应用安全测试 25 1.5 方法才是重点 26 第2章 安装免费工具 29 2.1 安装Firefox 29 2.2 安装Firefox扩展 30 2.3 安装Firebug 31 2.4 安装OWASP的WebScarab 32 2.5 在Windows上安装Perl及其软件包 33 2.6 在Linux, Unix或OS X上安装Perl和使用CPAN 34 2.7 安装CAL9000 35 2.8 安装ViewState Decoder 36 2.9 安装cURL 36 2.10 安装Pornzilla 37 2.11 安装Cygwin 38 2.12 安装Nikto 2 39 2.13 安装Burp Suite 40 2.14 安装Apache HTTP Server 41 第3章 基本观察 43 3.1 查看网页的HTML源代码 44 3.2 查看源代码,高级功能 45 3.3 使用Firebug观察实时的请求头 48 3.4 使用WebScarab观察实时的POST数据 52 3.5 查看隐藏表单域 55 3.6 使用TamperData观察实时的响应头 56 3.7 高亮显示JavaScript和注释 59 3.8 检测JavaScript事件 60 3.9 修改特定的元素属性 61 3.10 动态跟踪元素属性 63 3.11 结论 65 第4章 面向Web的数据编码 66 4.1 辨别二进制数据表示 67 4.2 使用Base-64 69 4.3 在网页中转换Base-36数字 71 4.4 在Perl中使用Base-36 71 4.5 使用以URL方式编码的数据 72 4.6 使用HTML实体数据 74 4.7 计算散列值 76 4.8 辨别时间格式 78 4.9 以编程方式对时间值进行编码 80 4.10 解码ASP.NET的视图状态 81 4.11 解码多重编码 83 第5章 篡改输入 85 5.1 截获和修改POST请求 86 5.2 绕过输入限制 89 5.3 篡改URL 90 5.4 自动篡改URL 93 5.5 测试对URL长度的处理 94 5.6 编辑Cookie 96 5.7 伪造浏览器头信息 99 5.8 上传带有恶意文件名的文件 101 5.9 上传大文件 104 5.10 上传恶意XML实体文件 105 5.11 上传恶意XML结构 107 5.12 上传恶意ZIP文件 109 5.13 上传样例病毒文件 110 5.14 绕过用户界面的限制 111 第6章 自动化批量扫描 114 6.1 使用WebScarab爬行网站 115 6.2 将爬行结果转换为清单 117 6.3 减少要测试的URL 120 6.4 使用电子表格程序来精简列表 120 6.5 使用LWP对网站做镜像 121 6.6 使用wget对网站做镜像 123 6.7 使用wget对特定的清单做镜像 124 6.8 使用Nikto扫描网站 125 6.9 理解Nikto的输出结果 127 6.10 使用Nikto扫描HTTPS站点 128 6.11 使用带身份验证的Nikto 129 6.12 在特定起始点启动Nikto 130 6.13 在Nikto中使用特定的会话Cookie 131 6.14 使用WSFuzzer测试Web服务 132 6.15 理解WSFuzzer的输出结果 134 第7章 使用cURL实现特定任务的自动化 137 7.1 使用cURL获取页面 138 7.2 获取URL的许多变体 139 7.3 自动跟踪重定向 140 7.4 使用cURL检查跨站式脚本 141 7.5 使用cURL检查目录遍历 144 7.6 冒充特定类型的网页浏览器或设备 147 7.7 以交互方式冒充另一种设备 149 7.8 使用cURL模仿搜索引擎 151 7.9 通过假造Referer头信息来伪造工作流程 152 7.10 仅获取HTTP头 153 7.11 使用cURL发送POST请求 154 7.12 保持会话状态 156 7.13 操纵Cookie 157 7.14 使用cURL上传文件 158 7.15 建立多级测试用例 159 7.16 结论 164 第8章 使用LibWWWPerl实现自动化 166 8.1 编写简单的Perl脚本来获取页面 167 8.2 以编程方式更改参数 169 8.3 使用POST模仿表单输入 170 8.4 捕获和保存Cookie 172 8.5 检查会话过期 173 8.6 测试会话固定 175 8.7 发送恶意Cookie值 177 8.8 上传恶意文件内容 179 8.9 上传带有恶意名称的文件 181 8.10 上传病毒到应用 182 8.11 使用Perl解析接收到的值 184 8.12 以编程方式来编辑页面 186 8.13 使用线程化提高性能 189 第9章 查找设计缺陷 191 9.1 绕过必需的导航 192 9.2 尝试特权操作 194 9.3 滥用密码恢复 195 9.4 滥用可预测的标识符 197 9.5 预测凭证 199 9.6 找出应用中的随机数 200 9.7 测试随机数 202 9.8 滥用可重复性 204 9.9 滥用高负载操作 206 9.10 滥用限制性的功能 208 9.11 滥用竞争条件 209 第10章 攻击AJAX 211 10.1 观察实时的AJAX请求 213 10.2 识别应用中的JavaScript 214 10.3 从AJAX活动回溯到源代码 215 10.4 截获和修改AJAX请求 216 10.5 截获和修改服务器响应 218 10.6 使用注入数据破坏AJAX 220 10.7 使用注入XML破坏AJAX 222 10.8 使用注入JSON破坏AJAX 223 10.9 破坏客户端状态 224 10.10 检查跨域访问 226 10.11 通过JSON劫持来读取私有数据 227 第11章 操纵会话 229 11.1 在Cookie中查找会话标识符 230 11.2 在请求中查找会话标识符 232 11.3 查找Authentication头 233 11.4 分析会话ID过期 235 11.5 使用Burp分析会话标识符 239 11.6 使用WebScarab分析会话随机性 240 11.7 更改会话以逃避限制 245 11.8 假扮其他用户 247 11.9 固定会话 248 11.10 测试跨站请求伪造 249 第12章 多层面的测试 251 12.1 使用XSS窃取Cookie 251 12.2 使用XSS创建覆盖 253 12.3 使用XSS产生HTTP请求 255 12.4 以交互方式尝试基于DOM的XSS 256 12.5 绕过字段长度限制(XSS) 258 12.6 以交互方式尝试跨站式跟踪 259 12.7 修改Host头 261 12.8 暴力猜测用户名和密码 263 12.9 以交互方式尝试PHP包含文件注入 265 12.10 制作解压缩炸弹 266 12.11 以交互方式尝试命令注入 268 12.12 系统地尝试命令注入 270 12.13 以交互方式尝试XPath注入 273 12.14 以交互方式尝试服务器端包含(SSI)注入 275 12.15 系统地尝试服务器端包含(SSI)注入 276 12.16 以交互方式尝试LDAP注入 278 12.17 以交互方式尝试日志注入 280
HTML开发王
01-03
第1篇 html基础入门篇 第1章 建立首要的、基础的正确认知 1.1 internet和万维网 1.1.1 什么是www(万维网) 1.1.2 w3c是什么 1.2 网页、浏览器、网站和网络服务器 1.2.1 网页和浏览器 1.2.2 不可不知的浏览器发展史 ...
URL编码
Mario7th的博客
03-18 7914
URL编码指的是对网址上的不安全的字符,例如中文,进行编码编码后的中文方便在网络上传输。   URL编码是一种用于将URL中的非ASCII字符的特殊字符转换为可以为Web浏览器和服务器普遍接受的、有明确的表示形式的格式,因为URL只能通过使用ASCII字符集(十六进制)将特殊字符在Web浏览器和服务器上显示。如果URL包含ASCII集之外的字符,则必须转换为ASCII字符才可显示。   在URL编码中,非ASCII字符将会被替换为“%”,后跟十六进制数字的格式。   例如:空格符号是最常见
安装Visual Studio失败 返回代码:1603
OldCaoNotOld的博客
10-22 3412
安装Visual Studio失败 返回代码:1603 错误描述 以前安装过vs后来卸载了,现在因为想运行github找到的算法代码又来重新下载,结果安装vs2019时遇到无法安装 …Redist.14 的错误,网上看了一些解决方案,例如没有文件夹创建一个等方法,尝试均无果 没有截图了,找了一个类似的报错如下图,其实这一类都是一样的原因以及解决方法。 原因 因为之前卸载时候没有使用卸载程序卸载,手动删除了部分文件,应该是破坏了win的注册表,问题比较繁琐 问题日志会反映出执行期间发生的错误,点击查看日
各种编码格式(非常经典)
热门推荐
zhc的博客
09-06 9万+
GBK,ISO-8859-1,GB2312的本质区别 编码有几种 ,计算机最初是在美国等国家发明的 所以表示字符只有简单的几个字母只要对字母进行编码就好 我们标准码 iso-8859-1 这就是一个标准 但是后来计算机普及了 于是就中国要使用计算机了 但是机器不认得中文,于是就有了国际码。 gbk gb2312都是这类。两个其实一个,一个是标准(发布的代号),一个是简称。后来多了个阿拉伯语、日
一些有关base64的坑,不要再犯这些错了
m0_37825219的博客
08-21 2万+
前言 最近在和百度对接中,需要通过base64加密的方式对数据加密并校验。对方环境是jdk1.8的,我们的环境是jdk1.7的,在对接中遇到一些问题,所以总结一下。 概述 Base64是一种字符串编码格式,采用了A-Z,a-z,0-9,“+”和“/”这64个字符来编码原始字符(还有垫字符“=”)。一个字符本身是一个字节,也就是8位,而base64编码后的一个字符只能表示6位的信息。也就是原始字符...
php base64编码地址栏含有下划线解决
qinshi501的博客
12-26 1966
php传递参数如果是一个url,就需要转化下传输,使用php的bs64编码来进行编码,发现编码后的数据带有下划线,浏览器不识别 只能进行转化改版bs64转码解码方法 。 首先我们看下bs64的编码方法 staticconstcharbase64_table[]={ 'A','B','C','D','E','F','G','H','I','J','K',...
http通讯及浏览器中的HTML编码URL编码base64编码及转义
pulledup的博客
08-15 6037
HTML 和 XHTML 用标准的 7 比特 ASCII 代码在网络上传输数据。
HTML标签与URL字符编码
weixin_46595570的博客
12-08 1075
HTMLURL
URL编码或解码方法
weixin_34279061的博客
03-05 575
URL的合法字符 URL的合法字符表示再浏览器的地址栏中不会被转义的字符,有两种: URL元字符:分号(;),逗号(’,’),斜杠(/),问号(?),冒号(:),at(@),&,等号(=),加号(+),美元符号($),井号(#) 语义字符:a-z,A-Z,0-9,连词号(-),下划线(_),点(.),感叹号(!),波浪线(~),...
什么是URL/URL编码绕过
好好睡觉
11-07 1745
URLURL绕过
C#全能速查宝典
04-26
1.1.3 base关键字——从派生类中访问基类的成员 3 1.1.4 变量——存储特定类型的数据 4 1.1.5 Console类——控制台中的输入流、输出流和错误流 6 1.1.6 Convert类——类型转换 8 1.1.7 常量——值不改变的量 9 1.1.8...
Excel公式与函数大辞典.宋翔(带书签高清文字版).pdf
03-02
2.1.17 SERIESSUM——计算基于公式的幂级数之和 64 2.2 舍入计算 65 2.2.1 INT——返回永远小于等于原数字的最接近的整数 65 2.2.2 TRUNC——返回数字的整数部分 66 2.2.3 ROUND——按指定位数对数字进行四舍五...
cmd运行wmic提示‘wmic‘ 不是内部或外部命令,也不是可运行的程序或批处理文件
Ho1aAs‘s Blog
05-15 1万+
文章目录问题描述解决方法 问题描述 cmd运行wmic提示’wmic’ 不是内部或外部命令,也不是可运行的程序或批处理文件。 解决方法 在Win10中,wmic已经归入**C:\Windows\System32\wbem** 文件夹,而环境变量只设置到C:\Windows\System32,因此找不到wmic 只需要添加C:\Windows\System32\wbem 到环境变量——系统变量的Path变量即可 Win+R,运行sysdm.cpl 高级——环境变量 系统变量——Path——编辑 添加C:\
『踩坑记录』Java-Runtime.exec()执行命令报错Cannot run program “xxx“:系统找不到指定的文件
Ho1aAs‘s Blog
11-18 1万+
# 问题描述 在Windows调用exec执行`dir`时报错:Exception in thread "main" java.io.IOException: Cannot run program "dir": CreateProcess error=2, 系统找不到指定的文件。 # 解决 **由于Java调用命令是以文件句柄的形式调用,Java并没有获取到shell,因此这里需要从cmd.exe调用dir,修改指令为`cmd /c dir`。同理,Linux下需要执行`/bin/sh -c xxx`**
PHP——连接MySQL报错mysql_connect(): Server sent charset (255) unknown to the client.
Ho1aAs‘s Blog
12-19 9702
文章目录一、问题描述二、解决方法 一、问题描述 使用 PHP5连接MySQL8时报错Warning: mysql_connect(): Server sent charset (255) unknown to the client. Please, report to the developers in xxx on line n,导致连接失败 二、解决方法 这是以为MySQL默认编码为utf8mb4引起的错误,将数据库和数据表内的varchar列的编码方式改回utf8即可解决问题 重启mysql服务
PHP——连接MySQL报错Fatal error: Call to undefined function mysql_connect() in xxx on line n
Ho1aAs‘s Blog
12-19 4806
文章目录一、问题描述二、解决方法 一、问题描述 使用 PHP5连接数据库时报错Fatal error: Call to undefined function mysql_connect() in xxx on line n PHP代码如下: <?php $uid = $_GET['id']; $sql = "SELECT * FROM userinfo where id=$uid"; $conn = mysql_connect('localhost:3306','root','root'); mys
编写bat批处理文件快捷启动Burpsuite
Ho1aAs‘s Blog
07-21 4514
文章目录路径结构编写bat 路径结构 激活码 批处理启动文件 程序 中文补丁 图标 编写bat !!根据自身情况更改!! 中文补丁可选 在Burpsuite路径下编写以下代码: start javaw -Dfile.encoding=utf-8 -javaagent:BurpSuiteCn.jar -Xmx1024m -noverify -Xbootclasspath/p:burp-loader-keygen-2.jar -jar burpsuite_pro_v2.1.jar 新建txt文本文
url能识别base64编码吗?
最新发布
09-18
一种常见的做法是对 base64 编码结果进行替换,将其中的特殊字符换成 URL 安全的字符。例如,将 '+' 替换为 '-',将 '/' 替换为 '_',将 '=' 替换为 ''(空字符串)。这样,经过替换后的 base64 编码就可以在 URL 中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值