同源策略与cors跨域及jsonp劫持 文章目录前言一、同源策略二、Ajax技术三、CORS跨域1.简单请求2.非简单请求3.漏洞成因及修复四、jsonp劫持总结前言本文整理同源策略,Ajax,cors跨域及jsonp劫持一、同源策略同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改)浏览器的同源策略规定: 不同域的客户端脚本在没有
CSRF与SSRF与XXE 文章目录前言一、CSRF1.CSRF的简介2.CSRF的防御与检测二、SSRF1.SSRF简介2.SSRF容易出现的地方3.SSRF会造成的危害4.防御措施总结前言系统的梳理下CSRF和SSRF的知识点一、CSRF1.CSRF的简介CSRF又称跨站请求伪造,XSS就是CSRF中的一种。跨站请求伪造指的是伪造客户端请求。发生条件:用户在正常网站A登录的情况下访问了保存有恶意代码的另一个网站BB网站劫持用户的登陆状态以用户的身份对网站A发送请求,一般是劫持了COOKIE信息。当服务端对这
文件上传漏洞基本了解与绕过 文章目录前言一、文件上传漏洞简介二、常见文件上传检测规则1.服务端MIME类型检测(Content-type内容)2.客户端 javascript 检测( 通常为检测文件拓展名)3.服务端目录路径检测( 检测跟 path 参数相关的内容 )4.服务端文件名拓展名检测5.服务器文件内容检测(检测内容是否合法或含有恶意代码)三、常见绕过总结前言这篇整理一下文件上传相关的东西一、文件上传漏洞简介在网站运营过程中,不可避免地要对网站的某些页面或者内容进行更新,这个时候需要使用到网站的文件上传功能。如果
XSS的简单了解 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言一、XSS的基本了解二、XSS的漏洞危害三、XSS易出现场景四、XSS漏洞分类1.反射型XSS总结前言写这玩意儿感觉回到了大学写课设作业一、XSS的基本了解XSS 被称为跨站脚本攻击由于和CSS 重名,所以改为XSS。XSS主要使用javascript,javascript 可以非常灵活的操作html、css和浏览器。XSS 就是将恶意代码注入到网页中,以达到攻击的效果。当用户访问被XSS 注入的网页,XSS.
SQL注入使用 文章目录前言随着自己学习网络安全有段时间了,发现自己过于自信了,什么都学,什么都觉得自己懂了,掉过头来原理都记不住,无奈,只好从头开始整理,权当自己复习一遍了一、OWASP10二、SQL注入的原理1.SQL常出现场景2.SQL注入的分类3.SQL注入的一般步骤三、mysql的一些基本1.mysql中的注释风格2.mysql中的内联注释3.mysql中的union联合查询4.mysql中的 order by 语句5.information_schema结构总结前言随着自己学习网络安全有段时间了,发现自己
常用网络协议 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言一、OSI网络七层协议二、tcp/ip协议簇与五层模型三、tcp/udp区别四、tcp三次握手与四次挥手tcp三次握手tcp四次挥手五、ARP协议ARP协议解析过程RARP过程ARP欺骗原理前言为了准备面试,并且让自己的网络安全学习基础更加牢固,准备将不同的知识点分门别类的记录下来一、OSI网络七层协议图片来源:CSDN博主「小鹏_加油」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本.
关注
