web 安全

最新推荐文章于 2024-08-15 09:23:50 发布
最新推荐文章于 2024-08-15 09:23:50 发布
阅读量297 收藏 3
点赞数
分类专栏: java 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kellyfun/article/details/77103771
版权

web安全的三要素

  • 机密性

     -数据不能泄露
 -手段:加密

  • 完整性

      -数据是完整的,没有被篡改
  -手段:数字签名

  • 可用性

      -服务应该随时可用
  -分布式拒绝攻击(?)

同源策略

-同源策略是由网景公司提出的一种安全策略,
-是web安全的基础,由浏览器实现,
-指的是当浏览器执行一段脚本时会判断是否来自同源,如果是执行,如果不是会在浏览器报一个异常,表示拒绝访问,
-同源( Origin)指的是,同协议,域名(或ip),端口
-cookie,DOM,XmlHttpRequest

为什么要使用同源策略?

你正在访问bank.com,输入用户名密码,登录成功,服务器返回cookie,浏览器存储下来,这时候又打开一个a.com,a.com是个黑客网站,执行了一段JavaScript从浏览器中取得了cookie,这时候黑客就可以假冒你来登录bank.com了

给这个策略撕开个口子

有的时候我们自己需要在本源中访问其他源的该怎么办呢?
-例外情况,访问其他源  <script> <image><iframe><link>
-这些加载进来的文件,浏览器认为他们的源是 当前网页的

突破同源策略
-后端服务器转发 发给自己后端服务器,服务器去访问其他源,并把结果返回到界面 -
-JSONP
-跨域资源访问 浏览器和服务器之间的强约定,浏览器会自动在http header 里加上不同源地址发送到服务器,服务器添加代码判断是否认可,下面链接有详细说明
http://www.ruanyifeng.com/blog/2016/04/cors.html

保护密码

明文存储 2012年csdn密码泄露事件,600万密码泄露

密码hash

  -原始密码经过hash 后得到一个hash值
  -这个hash值单项不可逆
  -相同的密码,得到的hash值相同
  -密码只存hash值,还是不安全,有人的密码设置非常简单,密码可以通过彩虹表撞库的方式撞出来

加点盐
- 让密码hash随机化
-(salt+密码)=》hash值
https://blog.coderzh.com/2016/01/10/a-password-security-design-example/

web安全

  1. sql注入

  2. XSS(跨站脚本攻击)

  3. CSRF(跨站脚本伪造)
  4. Session Fixation
java手拉手
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
web安全学习笔记
qq_40911864的博客
02-26 4680
web安全学习笔记 基础入门——基础概念 域名 什么是域名? 比如www.baidu.com,这就是一个域名,简单来说就是ip不好记,所以有了域名来方便记忆。通俗地讲,域名就是用户访问你的网站所使用的网址,相当于你家的通信地址,能够使访客方便快捷地访问你的网站 域名在哪里注册 域名注册建议大家去大的域名注册商,比如“腾讯云”和“阿里云”,因为大的域名服务商不管是安全还是服务上都有所保证。 域名注册是Internet中用于解决地址对应问题的一种方法。根据中国互联网络域名管理办法,域名注册服务机
web安全
qq_43613144的博客
07-16 230
Web在ctf比赛中占有很大一部分的内容,它与现实的真实的网站漏洞有着密切的联系。它包含了很多的内容,黑客们的攻击方式也是层出不穷,作为一个小白帽,守护网络的安全,必须要求我们提升技术。我们从最为基础的ctf题目练起,认识一个一个的漏洞,开启神奇的网络安全世界。 Web题目分类 1.源码获取,扫描,弱密码爆破,js绕过 2.Php代码审计,弱类型比较 3.文件上传,文件包含 4.序列化与反序列化 ...
常见web安全及防护原理
AriesTina的博客
10-30 1685
常见web安全及防护原理,含攻击实战和解决方案实战
常见六大Web安全问题
letianxf的博客
11-26 7328
一、 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS(因为缩写和 CSS重叠,所以只能叫 XSS),是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 原理 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私
Web安全
qq_42347617的博客
05-04 543
Web应用 由动态脚本(HTML …),编译过的代码等组合成 通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,由Web应用和企业后台的数据库及其他动态内容通信 Web 应用的三层架构 数据层:DOC层 业务逻辑层:Server层 安全问题一般在:Web层和业务逻辑层之间 (Web层发起HTTP请求) 应用 验证码:防止机器人 长时间操作,session失效:放弃...
web安全爆破字典bp.txt
10-28
web安全-抓包字典
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
WEB安全深度剖析.pdf
07-05
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
WEB安全入门基础.pptx
08-24
WEB 安全入门基础 本资源摘要信息主要关注 WEB 安全入门基础,涵盖了 WEB 安全的基本概念、HTTP 协议、加密算法、DOS 命令、信息收集、渗透测试等方面的知识点。 WEB 安全入门基础 WEB 安全入门基础主要包括 WEB ...
等保测评中的安全需求分析:构建精准的信息安全防护体系
最新发布
w13359990065的博客
08-15 535
在实施数字化转型的过程中,企业应将安全需求分析视为持续优化安全防护体系的关键环节,通过跨部门合作、员工培训、技术应用等策略,不断调整和优化安全需求,为业务的持续健康发展提供坚实的安全保障。某金融机构通过等保测评的指导,实施了详细的安全需求分析,识别了其关键业务功能和信息资产,包括客户数据、交易系统等,基于风险评估的结果,制定了针对性的安全控制措施,如多因素认证、数据加密、网络隔离等,有效提升了信息安全防护水平。实施安全需求分析的过程中,企业可能面临一些挑战,如技术更新快、业务需求变化频繁、安全资源有限等。
[Linux]车联网安全-大佬都在用的渗透测试系统
Liyu_6618的博客
08-12 302
天刃是一个基于Ubuntu 18.04的车联网渗透测试发行版系统,主要用于针对车联网设备进行安全评估。系统内置上百个车联网安全测试专用工具,旨在解决车联网安全从业人员测试工具杂乱、测试环境配置复杂、无工具可用等一系列问题。本系统提供ISO镜像安装与OVA镜像导入方式安装,推荐使用OVA导入虚拟机操作更为简单方便。覆盖逆向、CAN、车载以太网、WiFi、蓝牙、云平台等安全测试。导入或安装成功后开机使用iov/root进行登录,登录成功后会显示用户体验计划,可选择同意或拒绝,确认完成后即可开始使用。
便携式手提加固计算机:搭载飞腾4核/8核处理器的加固计算机
Future_2024的博客
08-13 584
便携式手提加固计算机:搭载飞腾4核/8核处理器的加固计算机
ctf 堆栈结构
qq_69100706的博客
08-12 378
CTF(Capture The Flag)竞赛中,理解堆栈结构对于解决涉及二进制分析、逆向工程和利用开发的挑战至关重要。堆栈是在程序执行过程中用于临时存储数据和管理函数调用的关键数据结构。
Scout Suite:开源云安全审计工具
网络研究观
08-12 301
Scout Suite 是一个开源、多云安全审计工具,旨在评估云环境的安全态势。
奥运会期间网络安全防护的重要性
gmqqcsdn的博客
08-12 502
它为运动员提供了公平竞争的舞台,为观众带来了精彩的观赛体验,也维护了奥运会的尊严和声誉。想象一下,如果奥运会的官方网站被黑客攻击,发布了虚假的赛事结果或负面信息,那将对奥运会的公信力造成极大的冲击。赛事的组织协调、运动员的信息管理、观众的票务与服务,无一不依赖于网络的稳定运行。通过强大的网络安全防护体系,能够及时检测和抵御这些威胁,保障网络的正常运行。北京时间凌晨3点,历史17天的巴黎奥运会迎来落幕,在此先祝贺伟大的祖国获得了总奖牌榜第二,金牌榜并列第一的好成绩,对征战在奥运会赛场的运动健儿们致敬!
同态加密和SEAL库的介绍(十)CKKS 参数心得 2
WaitMrAnt的博客
08-12 746
本篇继续上篇针对 CKKS 方案的测试,首先证明了重新线性化虽然会减少密文长度,但是并不会对计算结果的精度有明显的影响;模数链的长度确实会限制乘法深度(具体来说是 Rescale 次数),这点上密文乘法和明文乘法相同;上篇中证明了增加 scale 会提高精度,本篇也证明了增长模数链也能增加精度,但是内存测试后,前者 scale 不会提高内存,后者会增加内存成本和时间成本。
Linux 主机一键安全整改策略
weixin_45840241的博客
08-15 496
echo "---------ssh登录前警告banner设置----------"echo "---------禁止root用户远程登录----------"echo "---------设置用户密码过期时间----------"echo "---------设置密码复杂度限制----------"echo "---------配置pacct工具----------"echo "---------禁用不必要的别名----------"安装配置记录用户对设备的操作的pacct工具;
漏洞复现-hutool XML反序列化漏洞(CVE-2023-24162)
玄道的网安博客
08-12 298
Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。在最新版的 hutool-all 没有用黑名单,而是直接移除了 readObjectFromXml方法cn.hutool.core.util.XmlUtil#readObjectFromXml(java.lang.String)当然这个地方也是可以通过读取文件来实现的。
Web安全实践:工具篇
"Web安全实践完整版 - 书籍精华,涵盖Web安全实践方法和代码,适合论文和课题研究参考" 本文将深入探讨Web安全实践,介绍一些基础的工具和技术,帮助理解和提升在Web安全领域的实践能力。Web安全是网络安全的重要...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值