day15 个人博客项目&登录验证&Cookie&Session&验证码安全

最新推荐文章于 2023-11-20 15:52:29 发布
最新推荐文章于 2023-11-20 15:52:29 发布
阅读量386 收藏 1
点赞数
分类专栏: 小迪网安笔记 文章标签: 安全 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hesysd/article/details/124607256
版权
本文探讨了后台验证用户身份的重要逻辑,包括登录过程和安全性。介绍了Cookie和Session两种常见的验证方式,强调了它们的安全隐患,如Cookie的可篡改性和Session的会话劫持风险。同时,对比了两者在存储位置、安全性及性能上的差异,指出在选择验证手段时应考虑的因素。
摘要由CSDN通过智能技术生成

前言

#知识点:

1、后台验证-登录用户逻辑安全

2、后台验证-COOKIE&SESSION

3、后台验证-验证码&万能密码等

判断用户的身份:

由于后台本身有多个功能文件页面

1.在每个文件里面添加判断代码

2.创建一个文件专门用来判断,其他文件包含调用它

登录用户逻辑安全

1.发送登陆请求 账户 密码

2.接受账户密码

3.判断账户密码的准确性

正确 成功登陆 》》跳转到成功页面

错误 登陆失败》》 重新登陆

后台管理系统有多个文件页面,为了方便验证,一般会选用cookie或session验证身份

cookie:身份验证 存储到客户端浏览器内

cookie安全:cookie修改 伪造 盗取

session: 身份验证 存储到服务端服务器内

session安全: 会话劫持(session劫持)

COOKIE验证

通过setcookie启用cookie功能 ,随机定义一个变量赋值。

然后验证这个cookie是否为空,为空则判断不是管理员!

攻击者可以通过抓包工具,进行对cookie的修改,或者通过XSS攻击,来获取管理员的cookie,从而直接登陆后台页面。

SESSION验证

通过session_start();函数启用session功能。

然后赋值。

通过if 判断 user是否等于admin 。等于则就是管理员。

session相对于cookie来说,用户登陆后,服务器会建立一个连接。然后服务器将一个特有的会话编号sessionid发给客户端,客户端登陆的时候必须带上这个id。

Cookie和Session的区别与比较

1.Cookie放在浏览器上,Session放在服务器上

2.cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session。

3.session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用COOKIE。

4.单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。

jsp+servlet之验证码
Joker的博客
09-09 188
记录学习,供己用! 画板servlet --》CheckCodeServlet package com.anbo.test; import java.awt.Color; import java.awt.Graphics; import java.awt.image.BufferedImage; import java.io.IOException; import java.util.Rando...
JavaWeb验证码案例(Cookie & Session
abyss_miracle的博客
02-07 410
Cookie,主要用于用户无登入情况下的身份识别。 package cn.web.Cookie; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; impo
第十天:信息打点--个人博客项目&登录验证&Cookie&Session&验证码安全
m0_51322401的博客
12-14 175
这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,⑤单个Cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个CookieSession是没有大小限制和服务器的内存大小有关。②session 能够存储任意的 java 对象,cookie 只能存储 String 类型的对象。【cookie在过程中可以被修改,而后者在第一次使用后就会被清除,下一次重新生成,因此无法修改】PHP验证的代码看不到,你能看见的是代码执行后的结果,只能黑盒测试。
设置cookiesession登录双重安全加密
living_ren的博客
01-11 2451
1.登录界面提交过来的数据进行cookiesession的设置,其中cookie设置加密确保安全性 public function index(){ if(IS_POST){ $username=I('post.username'); $pwd=I('post.pwd','','md5');
Spring Session学习(一)
老枪的世界
09-08 518
SessionCookie这两个概念,在学习java web开发之初,大多数人就已经接触过了。最近在研究跨域单点登录的实现时,发现对于SessionCookie的了解,并不是很深入,所以打算写两篇文章记录一下自己的理解。在我们的应用集成Spring Session之前,先补充一点SessionCookie的关键知识。SessionCookie基础由于http协议是无状态的协议,为了能够记住请
关于登录界面登录验证,个人项目
awodwde的博客
07-17 792
阿里巴巴素材库这个网址可以找图标,比如验证码的图标等等 @Controller //注解使类加载 @ReuestMapping("/system") //注解请求的路径 public class SystemController{ @RequestMapping(value="/login",method=RequestMethod.GET) public ModelAndView login(ModelAndView model){ model.setViewName("system/login
day16_cookie&session.rar
03-15
在Web开发中,CookieSession是两种非常重要的技术,用于管理用户会话状态。它们都是用来跟踪用户身份和保持...通过本次的"day16_cookie&session"学习,你可以更深入地理解这两种技术,并能够灵活运用到实际项目中去。
javaWeb_day18_会话技术Cookie&Session__记录上一次的登录时间___校验验证码
weixin_42062397的博客
10-29 235
1.会话技术 会话技术是帮助服务器 记住客户端状态(区分客户端) 从打开一个浏览器访问某个站点,到关闭这个浏览器的整个过程,成为一次会话 会话技术就是记录这次会话中客户端的状态与数据的 会话技术分为CookieSessionCookie:数据存储在客户端本地,减少服务器端的存储的压力,安全性不好,客户端 可以清除cookie Session:将数据存储到服务器端,安全性相对好,增...
javaweb用户验证码登录session例子
10-04
在Java Web开发中,用户登录验证是不可或缺的一部分,而在这个"javaweb用户验证码登录session例子"中,我们将深入探讨如何结合验证码、用户密码以及Session技术来实现安全登录过程。Session是Web应用中用于跟踪...
HTTP案例学习:用户登录&验证码
喜欢前端的后端 MelodyJerry
02-22 2164
本笔记包括两个案例,分别是用户登录验证码。 案例:用户登录接着 《HTTP:超文本传输协议》 、 《HTTP请求信息数据 - Request》 的学习,现在记录一份案例学习。 用户需求 编写 login.html 登录页面,并且有 username & password 两个输入框 使用 Druid 数据库连接池技术,操作 MySQL,day14数据库中user表...
Cookie & Session & kaptcha验证码
苏瞳的博客
06-09 415
服务器通知客户端保存键值对的一种技术。cookie 是 servlet(服务器) 发送到 Web 浏览器(客户端)的少量信息,这些信息由浏览器保存,然后发送回服务器。客户端有了 cookie 后,每次请求都发送给服务器每个 cookie 的大小不能超过 4 KB。 3. 服务器获取Cookie CookieUtils.java 4. Cookie的修改 5. Cookie的生命控制 Cookie的生命控制,即Cookie什么时候销毁API:修改后记得 resp.addCookie(cookie)
项目中邮箱验证,密码验证,昵称验证的正则,超级实用,赶快学习起来吧。
weixin_70112665的博客
09-17 249
邮箱验证的正则 const emailReg = /^[a-zA-Z0-9_]{4,20}@[a-zA-Z0-9]{2,10}\.com$ / /^([a-zA-Z]|[0-9])(\w|\-|\.)+@[a-zA-Z0-9]+\.([a-zA-Z]{2,4})$/ 密码的正则 const passwordReg = /^[a-zA-Z0-9_@#.+&]{6,20}$/ 昵称的正则 const nickNameReg = /[\u4e00-\u9fa5]/gm
html session验证登录,cookie+session验证登录
weixin_33970994的博客
06-09 454
设置session过期时间需要用到的配置SESSION_SERIALIZER = 'django.contrib.sessions.serializers.PickleSerializer'视图函数from datetime import datetime, timedeltafrom django.contrib.auth.hashers import check_passwordfrom dj...
前后端登录验证cookie和token
吮指原味鸡的博客
03-01 3293
这里写目录标题一、web开发模式1.基于服务的渲染的传统web开发模式2.前后端分离的开发模式二、 身份认证三、http的无状态性四、突破http的无状态性五、Cookie1.cookie的特性 一、web开发模式 1.基于服务的渲染的传统web开发模式 服务端渲染的概念: 服务器发送给客户端的HTML页面,是在服务器端通过字符串的拼接,动态生成的。因此客户端不需要使用ajax这样的技术额外请求页面的数据 优点: 1.前端耗时少。 服务器端动态生成HTML内容,浏览器只需要直接渲染页面即可,尤其是移动端,更
前后端的身份认证--cookie--session--jwt--token
m0_67391120的博客
03-09 372
一、web开发模式 目前主流的WEB开发模式有两种,分别是: 1.基于服务端渲染的传统WEB开发模式 2.基于前后端分离的新型WEB开发模式 1.服务器渲染的web开发模式 服务器渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的,因此,客户端需要使用Ajax这样的技术额外请求页面的数据 2.服务器端渲染的优缺点 优点: 1.前端耗时少 因为服务器负责动态生成HTML内容,浏览器只需要直接渲染页面即可,尤其是移动端 更省电 2.有利于SEO 因为服务器端响应的是完整的HT
asp.Net Cookie实例
隨鈊鎍慾
11-29 1557
<br />//写入 protected void Button2_Click(object sender, EventArgs e) { HttpCookie cookie=new HttpCookie("MyCook");//初使化并设置Cookie的名称 DateTime dt=DateTime.Now; TimeSpan ts = new TimeSpan(0, 0, 1,0,0);//过期时间为1分钟
渗透测试——漏洞扫描工具
最新发布
wuli1024的博客
11-20 1520
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
用百宝云搭建一个自己的网络验证系统的过程
zhineng007的博客
01-06 9926
为什么选择百宝云搭建网络验证系统,而不是用其他产品就不说了,速度快,难度低,成本低,优势很多,这里我描述一下百宝云搭建一个网络验证系统的过程.   指明一下 百宝云 可以做很多网络系统,这里网络验证系统只是一个方面的实现而已:   第一步:   首选进百宝云的云虚拟桌面 user.baibaoyun.com 注册一个账号,注册账号了,应该会送一个免费试用的安装包位置,在百宝云管理菜单下面可以
CookieSession登陆验证相关介绍和用法
Demon's blog
12-30 965
CookieSession用户登陆应用的原理Cookie的定义查看CookieDjango中操作Cookie获取Cookie设置Cookie删除CookieDjango中Session相关用法Session版登陆验证Django中的Seesion配置CBV中加载装饰器相关1. 加在CBV视图的get或post方法上2. 加在dispatch方法上3. 直接加在视图类上,但method_decorator必须传 name 关键字参数中间件CSRF Tokencookie翻译成中文意思是曲奇饼、饼干。
绕过安全狗的注入攻击策略:%00.&技巧
本文主要讨论的是在网络安全环境中如何通过特定的SQL注入技巧来绕过安全狗(一种常见的网站安全防护系统)进行进一步的渗透和攻击。作者首先提到在90sec论坛上的经历,由于对于信息安全的兴趣,他尝试了解一些技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

匿名用户0x3c

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值