web安全
雲下闲农
这个作者很懒,什么都没留下…
展开
-
web安全————XSS(攻击篇)
所谓的跨站脚本攻击(XSS)是指攻击者通过“HTML注入”,从而对客户端的网页进行篡改,并且插入恶意代码(脚本),使用户在浏览网页时控制用户浏览器的一种攻击。因此XSS也成为了客户端的头号大敌,OWASP也因此多次把XSS列在TOP 10威胁的榜首。原创 2016-11-27 12:44:14 · 3238 阅读 · 0 评论 -
web安全————XSS(预防篇)
现在市面浏览器都对XSS做了一些防范措施,如firefox的CSP、Noscrip扩展和IE8内置的XSS Filter等等。但是对于一个站点来说,这往往是不够的,还需要做出更优秀更好的方案防止XSS攻击。如httponly、输入检查、输出检查等等。 httponly是由微软提出来的,目前很多浏览器都支持该功能。带有httponly标识将禁止javascript访问cookie原创 2016-12-01 10:47:17 · 531 阅读 · 0 评论 -
web安全————CSRF(攻击篇)
跨站请求伪造(CSRF) 首先先来看一个实例:当用户在某个论坛上删除某篇文章时,通过抓包获取请求如下: http://blog.sohu.com/manage/entry.do?m=delete&id=12345678。用户登录后cookie为有效状态下,服务器接受到上述请求将会当作一次更新操作执行。为了完成CSFR攻击,攻击者需要构造一个页面:http://www.a.c原创 2016-12-07 11:04:57 · 942 阅读 · 0 评论 -
web安全————clickjacking(点击劫持)
点击劫持(clickjacking) 点击劫持最早是在08年由安全专家Reboot Hansen和Jeremiah Grossman发现,这种攻击方式影响了几乎所有的桌面平台。那么什么是点击劫持??点击劫持其实是一种视觉上的欺骗手段,攻击者将一个透明的、不可见的iframe覆盖在一个网页上,通过调整iframe页面位置,诱使用户在页面上进行操作,在不知情的情况下用户的点击恰好是点击在原创 2016-12-14 09:18:44 · 7422 阅读 · 0 评论 -
web安全————注入(初识篇)
注入攻击 注入攻击是web安全领域中最常见的一种攻击方式。注入攻击的本质就是把用户输入的数据当作代码执行,主要的两个关键条件:第一是用户能够控制输入,第二是原本程序要执行的代码拼接了用户输入的数据。在注入中,常见的就是SQL,下面我们来看看SQL注入的一些方法、技巧以及防御。 SQL注入 请看一个典型的SQL注入例子: var原创 2016-12-22 10:00:11 · 4744 阅读 · 0 评论 -
web安全————CSRF(防御篇)
CSRF防御之验证码 目前,验证码被认为是对抗CSRF攻击最简单有效的防御措施。用到验证码就是在请求过程中强制用户与应用进行交互,但是一个站点、一个好的产品要考虑到用户的体验,显然如果在所有的操作上都加入验证码对用户来说就很不友好。因此验证码只能是一种防御CSRF攻击的辅助手段,并不能成为主要解决方案。 CSRF攻击之Referer check 一个站点原创 2016-12-08 10:18:04 · 915 阅读 · 0 评论 -
web安全————文件上传漏洞
文件上传漏洞 所谓的文件上传漏洞是指用户上传了一个可执行脚本,并通过脚本文件获得执行服务器端命令的能力。文件上传本身是没有问题的,它只是一种正常的业务需求,问题出在文件上传后服务器怎么处理、解释文件。文件上传后导致常见的安全问题一般包括: 1,上传文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,导致代码被执行 2,上传文件是f原创 2016-12-28 10:42:16 · 959 阅读 · 0 评论 -
web安全————PHP安全之文件包含漏洞
PHP安全问题 PHP由于灵活的语法成为目前非常流行的WEB开发语言,应用非常广泛。也是由于这个特点让PHP给安全工作带来了一些困扰。下面讨论PHP自身的语言问题。 文件包含漏洞: 文件包含漏洞也是代码注入的一种,代码注入的原理是注入一段用户能够控制执行的脚本或代码,并让服务器端执行。代码注入的典型代表就是文件包含(file inclusion).这种文件包含漏洞可能原创 2017-01-13 11:23:31 · 2463 阅读 · 0 评论