Web 安全学习笔记

最新推荐文章于 2024-05-05 14:01:41 发布
最新推荐文章于 2024-05-05 14:01:41 发布
阅读量181 收藏 2
点赞数 1
文章标签: ddos 网络安全 web安全 系统安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hack0919/article/details/129973671
版权

本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。

一、最简单的 Web 物理架构

您必须了解 HTTP 协议,简单总结如下:

  • 浏览器和服务器的通信采用无状态的 HTTP 协议。
  • 通过控制 HTTP 的请求头,可以控制:客户端缓存、Cookie、请求编码、相应编码等。
  • 请求内容向服务器提交数据(POST 和 GET),响应内容向浏览器发送数据。
  • Cookie 包含在每个请求和响应中,因此客户端和服务器都可以访问到。
  • 一般使用 Cookie 来维护一个浏览器会话(也有其他方式)。

二、攻击方式总览

三、Web 软件安全攻击防护

3.1、浏览器安全攻击

Cookie 假冒

定义

非期望的修改 Cookie 的值。

场景

服务器将用户的授权信息存储在 Cookie 中,然后客户端用这些 Cookie 决定导航的显示与否。如果有程序恶意的修改了Cookie,会导致权限提升。

攻击方式

  • 注入的 Javascript 代码。
  • 使用浏览器调试工具。
  • 本机病毒等。

防护措施

  • 尽量将 Cookie 设置为 HttpOnly,浏览器伪造不了这种 Cookie。
  • 防止 Javascript 注入。

隐藏变量修改

定义

非期望的修改隐藏变量。

场景

订单的折扣计算完全依赖客户端的某个变量,这个变量是从服务器生成的,所有逻辑都在客户端计算,服务器只是接受最后的计算结果。如果有程序恶意的修改了变量,会绕过某些业务逻辑。

攻击方式

  • 注入的 Javascript 代码。
  • 使用浏览器调试工具。

保护措施

  • 防止 Javascript 注入。
  • 关键的功能不要依靠客户端控制,要采用服务器控制。

跨站脚本攻击

最低0.47元/天 解锁文章
白袍万里
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB安全学习笔记
chenrs727的博客
12-02 1920
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
web安全学习笔记
qq_40911864的博客
02-26 4624
web安全学习笔记 基础入门——基础概念 域名 什么是域名? 比如www.baidu.com,这就是一个域名,简单来说就是ip不好记,所以有了域名来方便记忆。通俗地讲,域名就是用户访问你的网站所使用的网址,相当于你家的通信地址,能够使访客方便快捷地访问你的网站 域名在哪里注册 域名注册建议大家去大的域名注册商,比如“腾讯云”和“阿里云”,因为大的域名服务商不管是安全还是服务上都有所保证。 域名注册是Internet中用于解决地址对应问题的一种方法。根据中国互联网络域名管理办法,域名注册服务机
安全Web安全学习笔记
02-26
说来惭愧,6年的web编程生涯,一直没有真正系统的学习web安全知识(认证和授权除外),这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习Web安全方面的笔记。本文不涉及IIS、Windows和SqlServer的安全管理与配置,尽量只谈编程相关的安全问题。浏览器和服务器的通信采用无状态的HTTP协议。通过控制HTTP的请求头,可以控制:客户端缓存、Cookie、请求编码、相应编码等。请求内容向服务器提交数据(POST和GET),响应内容向浏览器发送数据。Cookie包含在每个请求和响应中,因此客户端和服
2024年Web安全学习路线总结!430页Web安全学习笔记(附PDF)_ctf web pdf(1)
最新发布
2401_84281748的博客
05-05 1063
网络安全的范畴很大,相较于二进制安全等方向的高门槛、高要求,Web安全体系比较成熟,在现阶段来看,但凡有自己网站和安全需求的企业,就需要Web安全工程师,并且薪资十分可观,因此成为了不少朋友的主要发展方向。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
安全Web 安全学习笔记
javafirst
10-10 511
来源:http://www.cnblogs.com/happyframework   背景 说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS、Wind...
Web安全基础教程(非常详细)从零基础入门到精通,看完这一篇就够了
Python_0011的博客
09-02 1648
元素定义一个段落注:在浏览器的页面上使用键盘上的F12按键开启调试模式,就可以看到组成标签。HTML-段落HTML段落是通过标签来定义的,这是一个段落HTML-链接HTML链接是通过标签来定义的标签的href属性用于指定超链接目标的URL。在href属性中指定链接的地址。HTML-图像HTML图像是通过标签来定义的HTML-水平线标签在HTML页面中创建水平线;Hr元素可用于分割内容。HTML-注释可以将注释插入HTML代码中,这样可以提高其可读性,使代码更容易被人理解。
Web安全学习笔记PDF
01-31
Web 安全学习笔记 PDF 本资源摘要信息将对 Web 安全学习笔记 PDF 进行详细的知识点总结。该笔记涵盖了 Web 安全领域的多个方面,包括网络技术演化、网络攻防技术演化、网络安全观、法律与法规、计算机网络与协议、...
web安全学习笔记.pdf
09-20
"Web 安全学习笔记" Web 安全学习笔记是关于网络安全的综合性学习笔记,涵盖了 Web 安全的基础知识、常见威胁、防御策略等方面的内容。下面将详细介绍该笔记中所涉及的知识点: 一、Web 安全基础 * Web 安全定义...
Web安全学习笔记
11-03
Web安全学习笔记》 在当今数字化的时代,Web安全已经成为每一个互联网用户,特别是开发者和网络安全专业人员必须关注的重要领域。Web安全主要涉及保护Web应用程序免受各种攻击,如SQL注入、跨站脚本(XSS)、跨站...
web安全学习笔记网络安全
zxcvbnmasdflzl的博客
05-17 279
本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。 这个 Web 安全学习路线,整体大概半年左右,具体视每个人的情况而定。
JavaScript学习笔记(二十)DOM动画效果
2401_84254011的博客
04-28 480
/0 ~ 100}else{//100// 3. 速度取整;}else{}else{// 4. 终止条件;} , 50)
Web安全 学习笔记
农夫果园好好喝的博客
04-18 499
P1概念名词 1,1 域名 什么是域名? 域名是有一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指的是地理位置)。 什么是二级域名多级域名? 二级域名:分两种 在国际顶级域名下的二级域名 国际顶级域名下二级域名,二级域名一般是指域名注册人选择使用的网上名称,如“yahoo.com”;上网的商业组织通常使用自己的商标、商号或其他商业标志作为自己的网上名称,如“microsoft.com”。 国家顶级域名下二级域名 在国家顶级域名之下二级域名
web安全学习笔记--基础入门
m0_64348326的博客
04-21 5546
一、名词 1.DNS(域名系统):将域名和IP地址相互映射的一个分布式数据库,便于用户访问;UDP/TCP端口为53,利用cmd中ping命令可以查看域名所对应的ip号 2.CDN(内容分发网络):将网络的流量尽可能均匀分配到几个能完成相同任务的服务器或网络节点上,由此来避免部分网络节点过载 二、网页基本架构 1.常见的脚本语言:php、jsp、asp、aspx、javaweb、python、cgi等 2.操作系统:windows、linux 3.中间件:nginx、IIS、Tomcat、.
7.12 web安全基础学习笔记
qq_48008847的博客
07-12 211
1.URL是什么 统一资源定位符(Uniform Resource Locator,常缩写为URL),有时也被俗称为网页地址(网址)。 它的作用就是用于定位服务器的资源。这个资源可以是HTML页面,CSS文档,图像等等. 2.URL的标准格式 协议类型+服务器域名/IP地址+服务器端口号+资源所在路径+发送给服务器的数据+锚点 3.URL编码 为了解决承担特殊作用的字符冲突问题:URL编码方案会对这些有问题的字符进行编码,使其可通过HTTP安全传输。URL编码的字符都以 %为前缀,其后是这个字
Web安全攻防学习笔记(一)
answer3lin的博客
09-13 3064
第一章 渗透测试之信息采集 参考https://www.ms08067.com/ 1.1 收集域名信息 获取域名对应的IP和域名服务器信息。 1、dig 2、nslookup 域名注册信息,包括该域名的DNS服务器信息和注册人的联系信息等。 1.1.1 Whois 爱站工具网https://www.aizhan.com/ 站长之家https://www.chinaz.com/ VirusTotalhttps://www.virustotal.com/gui/ created:...
Web安全基础学习笔记
輚至消亡
10-02 768
Window10关闭Windows Update 组策略编辑器 快捷键: gpedit.msc 密码: 123.com 五类IP地址: A类: 1-126 默认子网掩码: 255.0.0.0 B类: 128-191 默认子网掩码: 255.255.0.0 C类: 192-223 默认子网掩码: 255.255.255.0 D类: 224-239 组播地址 科研使用 ping [-t IP地址] 持续发送探测数据包 [-n 数字] 数据包数量 [-l 数字] 单个数据包大小 nsloopup 网址(手
web应用程序学习笔记
07-20
对于学习 web 应用程序开发的笔记,你可以考虑以下要点: 1. HTML:学习基本的 HTML 标记语言,包括标签、元素、属性等,了解如何创建网页结构和内容。 2. CSS:学习 CSS 样式表,包括选择器、样式属性和样式规则等,掌握如何为网页添加样式和布局。 3. JavaScript:学习 JavaScript 编程语言,包括语法、数据类型、函数等,了解如何为网页添加交互和动态效果。 4. 后端开发:学习一种后端开发语言,如 Python、Java 或 PHP,掌握服务器端编程的基本概念和技术。 5. 数据库:了解数据库的基本概念和常用操作,学习 SQL 查询语言以及与后端语言的集成。 6. 框架和库:学习常用的 web 开发框架和库,如 Django、Flask、React、Vue.js 等,加快开发速度并提供更好的功能。 7. 安全性:了解 web 应用程序的常见安全漏洞和防御措施,学习如何编写安全的代码和配置安全服务器环境。 8. 部署和维护:学习如何将 web 应用程序部署到服务器上,并进行日常维护、监控和更新。 记得不断实践和构建项目,通过实际的开发经验来加深对 web 应用程序开发的理解和掌握。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值