《*Web安全*》
ai_64
对互联网安全架构理论和安全建设非常感兴趣,不断提高自身职业发展所需的专业信息安全知识,希望早日成为安全界大咖!
展开
-
《白帽子讲Web安全 》 随手记(一)
第一遍阅读这本书是在今年春节,那时读得太匆忙,加上对Web上存在的威胁了解不多,那时并不觉这本书较同类书籍有什么特别之处。时隔3个月第二次阅读,醍醐灌顶,特别是讲解原理的部分,深入浅出,很好的梳理了各个知识点。毫无疑问,这本书不久我还会读第三遍,不愧为安全从业必读书籍。这本书的地位: 这本书在安全界地位非常高。首先这本书出版时间是2012年,时间比较早, ...原创 2019-04-04 20:11:10 · 2020 阅读 · 0 评论 -
WAF技术及应用读书笔记(五)网页防篡改
第五章 网页防篡改 有WAF保护仍不足够,攻击者利用各种漏洞配合攻击Web服务器仍将导致Web网站的网页被篡改, 5.1 网页防篡改的危害 常见的篡改有钓鱼隐私信息,网页挂恶意木马等。 5.2 攻击者常用的网页篡改手法 SQL注入,获取敏感信息,挂Shell 直接在原网页,插入恶意HTML ...原创 2019-10-06 04:20:39 · 894 阅读 · 0 评论 -
WAF技术及应用读书笔记(四)Web防护
草稿内容.....第四章 Web防护 Web防护表示主要是对Web应用提供保护,当然也包括对Web服务器的安全防护。 重点防护常见的攻击,如何检测并防御弱密码和泄密等行为。 4.1 弱密码 4.1.1 弱密码攻击的特点和具体方法。 攻击的特点有三:危害大,易利用,修补难。 具体密码攻击方法:1.社工欺骗 ...原创 2019-10-04 04:01:41 · 576 阅读 · 1 评论 -
WAF技术及应用读书笔记(三)HTTP基础
第三章 HTTP校验和访问控制 3.1 HTTP 熟练掌握HTTP知识才能写出各种匹配规则实现访问控制。 3.1.1 HTTP简介 超文本传输协议,用于服务器和客户端打交道,交换信息。 3.1.2 统一资源定位符 表示从互联网取得资源的路径和方法,俗称网址。 <协...原创 2019-10-03 05:48:14 · 486 阅读 · 0 评论 -
WAF技术及应用读书笔记(二)基础知识
第二章 Web应用防火墙 理解WAF概念、功能、作用、产品性能指标、防护原理。 2.1 WAF简介 应用防火墙设备主要通过一系列http/https安全策略给web应用建立保护。 2.2 WAF的功能及特点 补充了防火墙、IPS设备对Web应用防护能力不足的问题。 2.2.1 WAF的功能 ...原创 2019-10-03 03:59:23 · 936 阅读 · 0 评论 -
WAF技术及应用读书笔记(一)安全概述
第一章 Web系统安全概述 了解Web系统安全现状,理解Web网站系统结构和Web安全漏洞分析。 1.1 Web系统安全现状 现状堪忧,一大半处于危险状态中。 1.2 Web网站系统结构 1.2.1 静态网站 一般不具备交互功能,如登录等。 1.2.2 动态网站 ...原创 2019-10-03 03:58:20 · 568 阅读 · 1 评论 -
《Web 安全深度剖析 》 随手记(一)
Web 安全深度剖析(张炳帅)第一章(WEB安全简介) 1.服务器是如何被入侵 入侵前提:已连通 入侵手段:参考知识技能树形图 2.如何更好地学习Web安全 渗透测试人员要走得更远,需要编程功底 第二章(H...原创 2019-03-27 23:38:12 · 1903 阅读 · 1 评论 -
《Web 安全深度剖析 》 随手记(二)
第六章(上传漏洞) 上传漏洞比SQL注入风险更大,只要有上传,就可能存在上传漏洞 1.解析漏洞 IIS解析漏洞:建立畸形文件夹 .asa .asp,目录下的任意文件当做asp解析 WebDav漏洞:用户权限过大,可以上传脚本,给脚本改名 Apache解析漏洞:碰到不认识的扩...原创 2019-03-30 17:50:01 · 2008 阅读 · 0 评论 -
《Web 安全深度剖析 》 随手记(三)
第十一章(实战入侵与防范) 渗透测试是通过模拟黑客攻击来评估安全性能。我们打好基础后可以通过靶场练习, 来点实际的渗透测试,渗透只是手段,最终目的是加强安全防范。 站点破解思路 1.(0day)攻击 0day就是破解的意思,特指通过尚未公开的漏洞发起攻击。 配合google hiki...原创 2019-03-31 20:49:19 · 3245 阅读 · 0 评论 -
《白帽子讲Web安全 》 随手记(五)
第十六章 互联网业务安全 1产品需要什么样的安全 安全是产品的一个特性 在设计之初就应该考虑是否存在安全隐患。 在这些开发者眼里,优先顺序是 功能实现、执行性能、可用性、按计划上线、可维护、安全 google搜索结果的安全,领先对手,检测挂马网站...原创 2019-04-27 14:41:53 · 784 阅读 · 0 评论 -
《白帽子讲Web安全 》 随手记(四)
第十二章 Web框架安全 总的来说,实施安全方案,要达到好的效果,必须要完成两个目标: 1.安全方案正确、可靠; 2.能够发现所有可能存在的安全问题,不出现遗漏。 1.MVC框架安全 MVC是 Model-View-Controller的缩写...原创 2019-04-21 20:35:03 · 3158 阅读 · 0 评论 -
《白帽子讲Web安全 》 随手记(三)
第九章 认证与会话管理 最常用的认证方式就是用户名和密码。 1.Who am I? 认证和授权是两码事,认证目的是认出用户,授权是决定用户能干什么。 认证实际就是验证凭证的过程。 如何授权取决于认证出来的结果。 2.密码的那些事 密码必须...原创 2019-04-13 17:00:44 · 1133 阅读 · 0 评论 -
《白帽子讲Web安全 》 随手记(二)
第四章 跨站点请求伪造(CSRF) CSRF的中文名是跨站点请求伪造,很多安全工程师不理解它的利用与危害,因此不予重视。 攻击形成的本质是重要操作的所有参数都可以被攻击者猜测到。 1.CSRF简介 攻击者仅仅诱使用户访问一个页面,就以该用户身份在第三方站点里执行了一次删除操作。 ...原创 2019-04-06 21:07:15 · 1749 阅读 · 0 评论