简单记录web安全

最新推荐文章于 2024-07-10 17:49:24 发布
最新推荐文章于 2024-07-10 17:49:24 发布
阅读量192 收藏 1
点赞数
分类专栏: web安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jing_jing28/article/details/99482925
版权

简单记录web安全

上个月大概一个月做了给简单得web安全,比较局限,因为大部分是行内项目,不是互联网的项目

用户名密码自动填充autocomplete

取消自动填充,登录页输入框加属性autocomplete =false

用户名密码暴力破解

限制用户名的密码的错误次数,超过三次输入错误,锁定用户。

验证码(图形/短信)暴力攻击

限制用户每分钟验证码请求次数

header特殊字符

比如header中换行符,request.getHeader。

csrf(跨站点请求伪造)

表单token防重复提交(一次提交失效)

refer(token校验)和host

host只允许已经允许得host进入本系统访问,浮动ip配置多个。
注意(已被坑),比如你的请求是http://127.0.0.1但是修改http的host为www.baidu.com,后台获取得request得getrequestUrl得值,www.baidu.com/test/

refer就是此页面得来源,比如A-》B,B请求得refer就是A,正常限制本系统内跳转,校验refer同源,可能会有一些浮动ip,或者移动端和pc端交互或者iam的,可以单独设置配置已认证资源放过请求.

安全头

Strict-Transport-Security
Content-Security-Policy
X-Content-Type-Options:nosniff (script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应)
X-Frame-Options:阻止点击挟持攻击:SAMEORIGIN(同源才加载),DENY依赖
X-XSS-Protection:1; mode=block

IE的行为受X-Content-Type-Options的影响,如果Web应用没有返回Content-Type,
那么IE9、IE11将拒绝加载相关资源。如果服务器发送响应头 “X-Content-Type-Options: nosniff”,则 script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应。
这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。
"application/ecmascript"
"application/javascript"
"application/x-javascript"
"text/ecmascript"
"text/javascript"
"text/jscript"
"text/x-javascript"
"text/vbs"
"text/vbscript"

xss(跨站脚本js,css,shell,vb等)

输入可以显示在页面上对本来得html造型影响的一种攻击方式。

可以以来js脚本,比如alert等,也可以依赖css比如修改样式等

  1. 反射型,直接在html中输入可执行脚本,比如input输入半个引号,即可完成vakue=“”,然后绑定js事件,alert等
  2. 存储型,从数据库中获取得数据(可执行js等)在html数据展示是,返回到html执行或者篡改html,
  3. dom型

解决方案:
1.前端输入校验,比如禁止单引号双引号,可执行js或者css,style等
2.用户输入信息过滤:(存储型)query参数(get方法)/post的请求体参数:
可以使用filter对参数进行过滤,对入库和出库数据进行过滤,用正在表达式匹配掉,并replace掉非法字符,正则可以写成properties配置文件,方便读取和增加
比如:ript>可以绕过一次匹配,),onclick,onmouseover,on开头的所有js事件,window.location,alert,express,eval,frame=,window.onload ,等等,不可能完全防住,因为有n中攻击方式

状态码泄露

比如403,泄露有资源但是没有访问权限
转状态码 500-》200,host、referer不通过给404状态码,
定义错误页面404或者error.html等,不能泄露状态码

clickJacking(点击劫持)

比如在html页面上增加隐藏得frame,或者按钮同一个位置,加隐藏得按钮,发送请求到其他得地址。

method类型白名单

只允许get和post请求,禁止options探测,options探测会泄露信息

sql注入(盲注)

恶意sql在数据进行增删改查到拼接到sql时,执行恶意代码;
可以用xss过滤得时候,过滤sql特殊字符,比如删表的,select的等sql关键字进行过滤。
比如,‘and ’1‘=’1‘(很经典,select * from user where name = ‘user1’ and ‘1’=‘2’;恒成立,可以绕过密码等),增加order by 11等

session会话未更新

登陆前和登陆后session做一个失效,然后new一个新的。

cookie

设置httponly(禁止js获取cookie敏感信息)和secure安全

上传攻击

限制上传得(真实)后缀(有的字符会使后缀失效),必要可以做内容检测,当可指定文件上传到服务器后执行文件中代码。

url中特殊字符

http://www.baidu.com/sss/ddd;ddddd=ffff? 分号会引起url截断,不是url内合法字符

参数污染

比如/test/nnn?name=aaa&name=bbb&name=ccc可能引起数据错了

参数移除

比如id是int类型,给字符串,如果没有校验直接int parseInt就会程序错误
或者length 超长等。

解决方法:
规范校验
边界检查(范围限制,长度限制)
类型检查等

唯一性登陆,单客服端登陆(一个ip只能一个用户同使登陆)

版本(服务器)泄露 jquery等引用得js,http会泄露版本信息,部分jquery版本有安全问题。 异常后泄露得nginx版本信息, 以及http头得server信息等

ip,邮箱等泄露

第一次写,有问题欢迎指出,

jing_jing28
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界web进阶
weixin_54787877的博客
02-21 268
unserialize3 知识点:反序列化漏洞,wakeup魔法函数 php <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= ?> 先对代码补全然后进行审计。 class xctf{ //定义一个名为xctf的类 public flag=′111′;//定义一个公有的类属性flag = '111';
安全:Web安全学习笔记
02-26
这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习Web安全方面的笔记。本文不涉及IIS、Windows和SqlServer的安全管理...
(laravel,apache,nginx )响应头设置 (有关iframe嵌套,xss 攻击,防止基于 MIME 类型混淆的攻击)的配置
qq_35190486的博客
11-16 1047
nginx 配置 server { listen 80; server_name nestle.com ; root "D:\install\PHPTutorial\WWW\skscrm\dist"; add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection '1; mode=block'; add_header ...
发布前必须排查的Web安全
面向对象的夜猫子
10-18 448
关于Web安全的问题,是一个老生常谈的问题,作为离用户最近的一层,我们大前端确实需要把手伸的更远一点。 我们最常见的Web安全攻击有以下几种 XSS 跨站脚本攻击CSRF 跨站请求伪造clickjacking 点击劫持/UI-覆盖攻击 下面我们来一一分析 XSS 跨站脚本攻击 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading
手把手教你Java项目源码安全审查!
xmt1139057136的专栏
08-08 2601
你知道的越多,不知道的就越多,业余的像一棵小草!你来,我们一起精进!你不来,我和你的竞争对手一起精进!编辑:业余草来源:cnblogs.com/xdecode/p/9252113.htm...
前端安全之防范XSS
高先生的猫
06-06 2800
由于前段时间业务有接触到富文本编辑器,且编辑器由用户直接使用,所以不可避免需要对其涉及到的XSS防护有所了解,因此对XSS防护做一个实战小结。 前言 XSS大部分前端coder都不会陌生,全称:跨站脚本漏洞(Cross Site Scripting,简写作XSS)是Web应用程序在将数据输出或者展示到网页的时候存在问题,导致攻击者可以将对网站的正常功能造成影响甚至窃取或篡改用户个人信息,其诱发的主要原因是没有针对用户输入来源的数据以及不可信数据源的过滤。本文将针对XSS进行简单的归类总结,并且提供.
网络安全实验——web安全
weixin_58628068的博客
05-18 3160
XSS(Cross-Site Scripting)是一种常见的Web应用程序漏洞,攻击者可以通过注入恶意脚本来获取用户的敏感信息或者控制用户的账户。攻击者可以通过在输入框、URL参数等地方注入恶意脚本来实现XSS攻击。为了防止XSS攻击,应该对用户提交的数据进行过滤和转义,避免将用户输入的内容作为HTML或JavaScript代码直接输出到页面上。在盗取rookie(一个虚拟人物)的实验中,攻击者通过在评论中注入恶意脚本,来实现对rookie账户的控制。
Web安全总结
sqjddb的博客
07-01 1030
SQL注入 跨站脚本攻击(XSS) 跨站请求伪造(CSRF) 文件包含漏洞 验证码技术 同源策略
信息安全入门——web安全介绍
小白一枚多多关注的博客
11-15 5321
通过上一篇文章使我们得知了信息安全与网络安全之间的区别以及分别做什么的,今天我将给大家介绍一下信息安全中较为庞大的一个分支中的分支——web安全web安全顾名思义,就是web服务的安全,web服务通常由服务器、中间件、插件、内容构成,而攻击者就是通过某种特殊的手段已达到拿下web服务器为目的。 web安全每年都会由国际组织“开放式web应用程序安全项目(owasp)”来定义每年危害排前10的漏洞,但个人觉得每年这个榜基本上变化都不大,接下来我们就来了解一下该组织每年所定义的危害排名前十的漏洞(简称O
Web安全学习笔记 2021 中文PDF最新版
04-13
Web安全学习笔记是一个Web安全学习帮助参考文档,在学习Web安全的过程中,深切地感受到相关的知识浩如烟海,而且很大一部分知识点都相对零散,如果没有相对清晰的脉络作为参考,会给学习带来一些不必要的负担。...
Web应用安全:Nginx日志配置.pptx
06-20
Web应用安全:Nginx日志配置 在 Web 应用安全中,Nginx 日志配置是一项重要的安全措施。通过合适的日志配置,可以更好地记录和追踪网站的访问记录,从而帮助管理员更好地监控网站的安全状态。本文将详细介绍 Nginx ...
Web应用安全:Cookie参数越权.pptx
06-18
Cookie参数越权 Cookie参数越权 ...简单的说就是: (1) Cookie是以小的文本文件形式(即纯文本),完全存在于客户端;Cookie保存了登录的凭证,有了它,只需要在下次请求时带着Cookie发送,就不必再重
网络安全----防御----防火墙安全策略组网
最新发布
NBbabay的博客
07-10 216
4,办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定Ip地址,访问DMZ区使用免认证, 游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网址地址10.0.3.10。5生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织结构,至少包含三个部门,每个部门三个用户,统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。
医疗器械网络安全 | 漏洞扫描、渗透测试没有发现问题,是否说明我的设备是安全的?
网 安 云
07-10 378
尽管漏洞扫描、模糊测试和渗透测试在评估系统安全性方面是非常重要和有效的工具,但即使这些测试没有发现任何问题,也不能完全保证您的医疗器械是绝对安全的。网安云,目针对医疗器械海外国内注册、变更推出网络安全解决方案,专业安全专家与法规研究团队对国内、美国、欧盟等国家医疗器械注册网络安全要求进行深入钻研,为客户定制化网络安全方案,帮助客户为设备注册、上市出具符合法规要求的网络安全文件。综上所述,虽然漏洞扫描、模糊测试和渗透测试是评估医疗器械安全性的重要手段,但它们并不能完全保证系统的安全。医疗器械网络安全顾问。
网络防御保护——网络安全概述
智商不在服务区的博客
07-06 908
0day漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知,所以没有可用的补丁程序。换句话说,该漏洞是由不直接参与项目的人员发现的。术语“0day”是指从发现漏洞到对其进行首次攻击之间的天数。0day漏洞公开后,便称为nday漏洞。0day时间表的工作原理如下:一个人或一个公司创建了一个软件,其中包含一个漏洞,但涉及编程或发行的人员却不知道。在开发人员有机会定位或解决问题之前,有人(除负责软件的人员之外)发现了漏洞。发现该漏洞的人会创建恶意代码来利用该漏洞。该漏洞被释放。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1115
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
【网络安全】实验七(ISA防火墙的规则设置)
Elena's Blog
07-07 1049
(1)将host1的IP地址设置为172.16.学号.学号(2)将host2的IP地址设置为172.16.学号.1学号(3)将防火墙的内网IP地址设置为172.16.学号.250,IP地址设置为192.168.17.1学号(4)在防火墙上配置路由功能,并使内、外网之间能互相PING通(1)(2)(3)(4)
如何用IP地址申请SSL证书实现网络安全
2401_84891336的博客
07-10 264
申请IP地址SSL证书
网络安全防御【防火墙安全策略用户认证综合实验】
miss_copper的博客
07-10 788
先新建一个管理员角色(网络安全管理员):再新建一个管理员(用户名密码自拟):至此本实验全部结束!!!
跨站攻击(XSS+CSRF).docx
01-05
"本次实验主要关注的是Web安全中的两种重要攻击方式:跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。实验旨在让参与者深入理解这两种攻击的原理,掌握不同级别的攻击实施,并了解相应的防御和修复措施。实验环境为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值