Web入侵安全测试与对策学习笔记(一)——总览

最新推荐文章于 2022-02-02 23:37:58 发布
最新推荐文章于 2022-02-02 23:37:58 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 安全测试 文章标签: web 测试 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aovenus/article/details/7893291
版权

Web入侵安全测试与对策

web客户端进行测试需要考虑的特殊问题:

1、恶意的用户可以篡改客户机上的数据——一切皆有可能

结论:在没有得到服务器端对数据的双重认证时,不要在客户端执行重要的运算和验证。

2、来自web客户机的全部数据流都需要被歧视为不可信赖的,并且对其进行验证——信任来自认可

结论:来自客户机的所有数据都需要被仔细验证。

3、用户对客户端的所有代码都有访问权限——我的地盘我做主

4、客户机可以发现一些服务器运行的细节——细节决定成败

 

网络:

连接客户机和服务器端的网络是不可信的,采用明文传输的web数据流可能会被截获或篡改。

不要信任任何客户机,不要信任任何网络,重要的操作都要放在服务器端执行。

aovenus
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全防攻(渗透测试
m0_62959521的博客
04-07 3144
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5...
Web安全攻防 渗透测试实战指南   学习笔记 (二)
0yst3r ‘s blog
09-21 1087
Web安全攻防 渗透测试实战指南 学习笔记 (二) 有关本书的其他学习笔记请移步以下链接~ Web安全攻防 渗透测试实战指南 学习笔记 (一) https://www.cnblogs.com/0yst3r-2046/p/10931927.html Web安全攻防 渗透测试实战指南 学习笔记 (二)https://www.cnblogs.com/0yst3r-2046...
Web入侵安全测试对策学习笔记之(二)——获取目标信息之淘金
aovenus的专栏-测试新时代(微信公众号:测试新时代)
08-21 2197
Web安全测试之——获取正确的目标信息 在战争中,通常都会需要花费大量时间去搜索、收集敌人的情报信息,用于及时了解敌人的动态,便于及时准备和调整战争部署,充分合理的利用自身的攻击能力——知彼知己者,百战不殆《孙子.谋攻》 Web安全测试也是如此,为了尽可能多的找出系统存在的重大安全bug,就需要进行“攻击”,而在攻击之前,首先要做就是收集、获取目标相关信息——通常所说的踩点。   1、淘金
Web入侵安全测试对策
拟声的主扬在江湖
02-18 435
Web入侵安全测试对策     本书是一本对基于Web的软件进行安全性测试的权威的随身指南,本书的两位资深专家重点介绍了各种针对Web软件的攻击...更多
跨入安全的殿堂--读《Web入侵安全测试对策》感悟
weixin_34146410的博客
09-09 185
前言     最近读完了《Web入侵安全测试对策》,从中获得了不少灵感。此书介绍了很多Web入侵的思路,以及国外著名安全站点,使我的眼界开阔了不少。在此,我重新把书中提到的攻击模式整理归纳了一遍,并附上相关的一些参考资料,希望会对各位Web开发人员和安全测试人员有所帮助。     现在Web攻击方式日新月异,但基本思想很多都源于下面的攻击方式,比如,下面提到的“SQL注入”和“命令注入”就是注入...
Web入侵安全测试对策》读书笔记
光明矢的专栏
10-08 1955
Web入侵安全测试对策》读书笔记
安全:Web安全学习笔记
02-26
这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习Web安全方面的笔记。本文不涉及IIS、Windows和SqlServer的安全管理...
JBPM学习笔记——流程设计与控制
03-03
火龙果软件工程技术中心 相关资料:《jBPM学习笔记(V3.2环境部署)》《jBPM学习笔记(框架设计简介)》背景本片文章,我们将从业务流程的设计开始,通过带领大家完成一个完整工作流的程序设计,来学习jPDL的使用。...
Python学习笔记——大数据之Spark简介与环境搭建
02-24
SparkSQL:提供通过ApacheHive的SQL变体Hive查询语言(HiveQL)与Spark进行交互的API。每个数据库表被当做一个RDD,SparkSQL查询被转换为Spark操作。对熟悉Hive和HiveQL的人,Spark可以拿来就用。SparkStrea
Python学习笔记——用户登录测试
12-22
在本篇《Python学习笔记——用户登录测试》中,我们将探讨如何使用Python语言实现一个简单的用户登录系统。这个系统能够接收用户的账号和密码输入,并进行有效性验证。通过这个实例,初学者可以了解到基础的Python...
Web入侵安全测试对策学习笔记之(二)——获取目标信息之猜测文件与目录
aovenus的专栏-测试新时代(微信公众号:测试新时代)
08-23 1633
默认情况下,web应用部署在默认路径下,如IIS默认在C:\Inetpub下,如果攻击者能够猜测到文件名和存放位置,就可以直接在浏览器的地址栏里输入绝对地址和文件名来访问这些文件。 如何使用这种攻击? 在对目标系统进行了页面映射(可以使用Web crawlers、wget、BlackWindow工具)之后,就可以很容易知道页面命名转换的模式或是一些明显缺少的部分了。 如何实施这种攻击? 对
web渗透初学笔记
热门推荐
Taowood的博客
07-15 2万+
web基础知识 前端漏洞:钓鱼、暗链、xss、点击劫持、csrf、url跳转 后端漏洞:sql注入、命令注入、文件上传、文件包含、暴力破解   例子 报文   熟悉状态码   目前流行的网站架构   搭建phpstudy集成软件   在PHPstudy的mySQL中操作SQL语法 创建数据库  CREATE DATABASE my_db; 查...
容器安全检测工具之一:docker bench
aovenus的专栏-测试新时代(微信公众号:测试新时代)
02-02 1万+
docker bench 在github下载地址:GitHub - docker/docker-bench-security: The Docker Bench for Security is a script that checks for dozens of common best-practices around deploying Docker containers in production. Docker Bench是一个开源项目,该项目按照互联网安全中心(Cente...
信息系统安全等级保护基本要求——技术要求
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-20 8243
信息系统安全等级保护基本要求——技术要求   一、技术要求: 标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)     基本要求 第一级 第二级 第三级
信息系统安全等级保护基本要求——管理要求
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-20 7953
二、管理要求 标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)   基本要求 第一级 第二级 第三级 第四级 安全管理制度 管
安全测试发现可高速缓存的登录页面的解决方法
aovenus的专栏-测试新时代(微信公众号:测试新时代)
08-03 6188
发现可高速缓存的登录页面 【问题描述】采用IBM Appscan进行扫描测试,发现可高速缓存的登录页面,给出的修改建议为: 【解决方法】 1、首先简单了解下HTTP通用信息头中的Pragma的含义: Pragma头字段的设置值只能固定为no-cache,即Pragma:no-cache。当Pragma头字段用于响应消息时,指示HTTP1.0客户端不要缓存文档;当用于请求消息时,指示
web安全测试之基本观察学习笔记——使用WebScarab观察实时的POST数据
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-12 5835
web安全测试之基本观察学习笔记——使用WebScarab观察实时的POST数据 POST请求时用于提交复杂表单最常见的方法,不同于GET取值,我们无法仅通过查看网页浏览器窗口顶部的URL来得知所有被传递的参数,参数经由连接从我们的浏览器传送到服务器。 我们可以使用web代理工具,观察提交的POST数据,而WebScarab就是一种web代理,代理介于浏览器与真实的web服务器之间,所
Web安全测试常用工具
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-12 5160
Web安全测试常用工具 【说明】以下汇总整理来自《Web安全测试》第二章 安装免费工具。 序号 工具名称 工具说明 运行环境要求 下载地址 1 Firefox浏览器 Firefox浏览器具有可扩展的附加组件架构,是可用于web应用安全测试的最佳浏览器。 Windows、linux均可
web安全测试之基本观察学习笔记——使用Tamper Data观察实时的响应头
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-13 3701
web安全测试之基本观察学习笔记——使用Tamper Data观察实时的响应头                响应头是在服务器发送页面的HTML代码之前,从服务器发送到浏览器的。这些头信息包含以下信息:通信方式、页面类型、截止日期、内容类型等元数据。 我们可以使用Firebug查看到响应头,详细可参见使用firebug查看实时的请求头;也可以使用webscarab代理找到头信息。
面向对象编程:Java学习笔记——类与对象设计原则
Java学习笔记主要聚焦于面向对象编程这一核心概念。面向对象编程(Object-Oriented Programming, OOP)是Java编程中的重要理论基础,它将现实世界中的事物抽象为对象,强调了对象的属性(属性描述了对象的状态)和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值