web安全
文章平均质量分 79
啦啦啦啦啦啦啦噜噜
这个作者很懒,什么都没留下…
展开
-
web安全——基础知识(计算机网络part2)
五、SYN洪泛攻击及防御在TCP三次握手过程中服务器首先向客户端发送请求报文,服务器发送确认报文后等待客户端发送确认报文。若客户端不发送确认报文服务器将在一点时间后断开该半连接并回收资源。SYN洪泛攻击:依靠TCP建立连接时的三次握手的漏洞,即攻击者发送大量的请求连接报文段但不完成第三次握手,会使得服务器端不断响应请求并为半连接分配资源导致资源被耗尽。SYN洪泛攻击是DOS攻击的其中一种。直接攻击 :攻击者用他们自己的没有经过伪装的IP地址快速地发送SYN数据包,这就是所谓的直接攻击。欺骗式攻击:原创 2022-03-02 15:16:15 · 4304 阅读 · 0 评论 -
web安全——基础知识(计算机网络part1)
一、OSI七层模型应用层 Application:网络应用程序及应用层协议留存(message)表示层 Presentation:使通信的应用程序能够释放交换数据的含义会话层 Session:提供数据交换定界和同步功能,包括建立检查点和恢复方案运输层 Transport:在应用程序端点间传送用应用层报文(segment)网络层 Network:将数据报(datagram)从一台主机移动到另一台主机链路层 Link:相邻网络节点间传递帧(frame)物理层 Physical:比特从一个节点移原创 2022-03-01 20:52:49 · 8004 阅读 · 2 评论 -
web安全——基础知识(密码学)
一、SSL/TLS握手过程HTTPS是在HTTP层和TCP层之间加了一个SSL/TLS层SSL,TSL协议不兼容,SSL已被TLS取代TLS 握手的目的是建立安全连接,那么通信双方在这个过程中究竟干了什么呢?商定双方通信所使用的的 TLS 版本 (例如 TLS1.0, 1.2, 1.3等等);确定双方所要使用的密码组合;客户端通过服务器的公钥和数字证书 (上篇文章已有介绍)上的数字签名验证服务端的身份;生成会话密钥,该密钥将用于握手结束后的对称加密。过程描述:客户端首先发送消息给原创 2022-03-01 16:24:32 · 2463 阅读 · 0 评论 -
国信安——安全加固
一、Windows操作系统安全加固1.打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定。审核特权使用启用本地安全策略中对 Windows 系统的审核特权使用,成功和失败操作都需要审核。1.打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置审核特权使用。二、Linux操作系统加固限制用户 su限制能 su 到 r原创 2022-03-01 15:05:12 · 1302 阅读 · 0 评论 -
国信安web安全——XSS漏洞
XSS漏洞一、漏洞概念跨站脚本攻击(Cross Site Scripting),一种前端漏洞,能够利用前端脚本(js、vbs)的能力,对受害者浏览器的信息进行读写。二、漏洞原理XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。三、漏洞危害1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号2、控制企业数据,包括读取、篡原创 2022-03-01 14:40:42 · 334 阅读 · 0 评论 -
国信安web安全——文件上传漏洞
文件上传漏洞一、漏洞概念文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是web服务器允许用户上传图片或者普通文本文件保存,而用户绕过上传机制上传恶意代码并执行从而控制服务器。二、漏洞原理网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意文件传递给如PHP解释器去执行,之后就可以在服务器上执行恶意原创 2022-03-01 14:40:20 · 503 阅读 · 0 评论 -
国信安web安全——SQLi漏洞(一)
一、熟悉SQL注入基础(1)order by(2)Union(3)version()(4)database()(5)concat()(6)Concat_ws()(7)group_concat()(8)information_schema库二、SQLi漏洞概念SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于原创 2022-02-28 16:05:50 · 583 阅读 · 0 评论 -
web安全——基础知识(操作系统)
(一)计算机基础知识一、操作系统1. 进程和线程的关系和区别关系:(1)一个线程只能属于一个进程,而一个进程可以有多个线程,但至少有一个线程。(2)资源分配给进程,同一进程的所有线程共享该进程的所有资源。(3)处理机分给线程,即真正在处理机上运行的是线程。(4)线程在执行过程中,需要协作同步。不同进程的线程间要利用消息通信的办法实现同步。线程是指进程内的一个执行单元,也是进程内的可调度实体。区别:(1)调度:线程作为调度和分配的基本单位,进程作为拥有资源的基本单位(2)并发性:不仅进程之原创 2022-02-26 20:26:48 · 150 阅读 · 0 评论