【web安全深度剖析】学习记录

最新推荐文章于 2023-11-14 19:52:32 发布
最新推荐文章于 2023-11-14 19:52:32 发布
阅读量136 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46152753/article/details/124338851
版权

第1篇 基础篇

第一章 web安全简介

本章主要是对Web进行一些简单的说明包括:

1.Web应用程序包含哪些内容:数据库、编程语言、Web容器等主要组件

2.Web安全主要产生的原因有:程序设计者自身编写的代码错误(开发者自身没有意识到安全方面的问题),对用户太过信任,操作系统的漏洞,数据库的漏洞等等。

下图展示攻击者是怎么攻陷服务器

常见攻击手段:

C段攻击:攻击者通过渗透同一段的一台主机对目标主机进行ARP等手段的渗透。

社会工程学(很玄幻的学科):社会工程学是通过语言,行为,人的心理等等来进行攻击的一种手段,通常体现在发送钓鱼邮件,发送异常连接(正常的连接可能是经过算法处理了,所以不认识的认发的邮件不要轻易点开。)

Service:传统的攻击方式为直接对服务器进行攻击,常见为缓冲区溢出、堆栈溢出,通过数据库,Web容器IIS6.5/IIS7.0文件上传等。通常是针对系统层面的攻击。

PS:第一次写,web安全小白一枚,纯属对自己学习内容做一个记录,若有不足请您评论区留言!有大佬路过的话麻烦您给出指导意见,谢谢各位!

梦已成殇l
关注
web安全深度剖析学习笔记①
weixin_51614848的博客
05-13 505
参考书籍:《web安全深度剖析》张炳帅 著 第一章 Web安全简介 (1)攻击者对计算机渗透的一个必需条件:攻击者的计算机能与服务器正常通信。服务器依靠端口与客户端通信,攻击者入侵也是靠端口,或者说是计算机提供的服务。 (2)web四个要点:数据库(存储数据),编程语言(将设计变为真实的存在),web容器(作为终端解析用户请求和脚本语言),优秀的web程序设计者(设计个性化的程序)。 (3)攻击者所掌握的部分技能图: (4)作者认为不错的一些编程语言及应用领域 第二章 深入http请求流程 1.HT
WEB手成长之路——《WEB安全深度剖析学习笔记
nobody_s_captain的博客
09-23 633
WEB安全深度剖析学习笔记基础篇HTTP请求流程HTTP协议报文格式HTTP请求HTTP响应HTTP头HTTP与HTTPS的区别 基础篇 计划使用一天(2020.9.23)时间完成 HTTP请求流程 web2.0时代,由C/S架构转变为B/S架构(浏览器/服务器) 书中写的http1.1而2014年12月,互联网工程任务组(IETF)的Hypertext Transfer Protocol Bis(httpbis)工作小组将HTTP/2标准提议递交至IESG进行讨论,于2015年2月17日被批准。
Web安全深度剖析完整版
11-03
Web安全深度剖析完整版,理论跟实践,可以看看。。。。。
Web安全深度剖析
banyingcheng7736的博客
07-04 464
Web安全深度剖析      链接:https://pan.baidu.com/s/15NulgWNzQ2JPCdn9q1jE-g   提取码:6y83    Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然      《We...
web安全深度剖析】1.1 Web安全简介
qq_40785722的博客
03-08 7294
web安全深度剖析】1.1 Web安全简介 【web安全深度剖析】 1. 服务器是如何被入侵的 渗透的必要条件是:攻击机通过服务器提供的端口服务和服务器进行正常的通信。过去的黑客攻击方式大多数都是针对目标进行的,现在已转移到Web之上。 构成Web的四个要素:数据库、编程语言、Web容器、Web应用程序的设计者 攻击者直接对目标下手一般有三种手段: C段渗透:通过ARP等手段对同一网段内的一台主机进行渗透 社会工程学:高级手段 Services:主要手段 2. 如何更好的学习web安全 根据应用
学习web安全深度剖析》(1)
ccirclee的博客
09-25 275
学习web安全深度剖析》 标准的URL格式 HTTP协议详解 HTTPS和HTTP协议的区别 URL标准格式: HTTP协议详解 什么是无状态协议 web服务器和web客户端之间不需要建立持久的连接,客户端发送请求后,web服务端返回相应,连接就会被关闭。HTTP请求只能由客户端发起。 HTTP请求方法的区别 GET 如果请求资源为动态脚本(非HTML),返回的是HTML源代码,不是源文件。例如:请求index.jsp,返回的是经过解析的HTML代码 POST 与GET最大的区别:GET有
Web安全深度剖析
weixin_30752699的博客
03-28 184
书名 《Web安全深度剖析》 图片 时间 2019-4月 总结 算是我安全的启蒙书 前五章都是工具 看完差不多算个脚本小子 后面的实战感觉很空洞没什么实战 转载于:https://www.cnblogs.com/feizianquan/p/10617269.html...
【推荐】网络安全学习资料汇总(17份).zip
03-27
推荐,网络安全学习资料汇总,共17份。 网络安全态势感知 ...Web安全深度剖析 web安全思维导图 Web安全学习笔记 93道网络安全面试题 360几率大的网络安全面试题(含答案) 636页渗透全笔记 白帽子讲WEB安全
若依RuoYi框架剖析笔记,该笔记是在学习江南一点雨所录课程再结合自己的理解所写
02-18
《若依RuoYi框架剖析笔记》是基于江南一点雨的...以上是RuoYi框架剖析笔记的关键知识点,涵盖了从项目改造到分布式事务,再到前端Vue3和工作流引擎Flowable的深度探讨,对于理解和运用RuoYi框架有着极高的参考价值。
SQL注入深度剖析
SQL注入(SQL Injection)是一种常见的Web安全漏洞,攻击者通过在输入数据中插入恶意的SQL代码,从而在数据库中执行非授权的查询或篡改数据。这种攻击利用了未经验证的用户输入,使得恶意用户能够绕过应用程序的输入...
web安全深度剖析
11-10
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度剖析》从攻到防,从原理到实战,由浅入深、循序渐进地介绍了Web 安全体系。全书分4 篇共16 章,除介绍Web 安全的基础知识外,还介绍了Web 应用程序中最常见的安全漏洞、开源程序的攻击流程与防御,并着重分析了“拖库”事件时黑客所使用的攻击手段。此外,还介绍了渗透测试工程师其他的一些检测方式。 《Web安全深度剖析》最适合渗透测试人员、Web 开发人员、安全咨询顾问、测试人员、架构师、项目经理、设计等人员阅读,也可以作为信息安全等相关专业的教材。
Web安全深度剖析.pdf
05-09
本书总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解web应用程序中存在的漏洞,防范于未然。
WEB安全深度剖析.pdf
07-05
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度剖析》从攻到防,从原理到实战,由浅入深、循序渐进地介绍了Web 安全体系。全书分4 篇共16 章,除介绍Web 安全的基础知识外,还介绍了Web 应用程序中最常见的安全漏洞、开源程序的攻击流程与防御,并着重分析了“拖库”事件时黑客所使用的攻击手段。此外,还介绍了渗透测试工程师其他的一些检测方式。
Web安全深度剖析-笔记
qq_30378851的博客
11-20 3386
Web安全深度剖析-笔记 文章目录Web安全深度剖析-笔记HTTP基础知识http请求方法http状态码http消息头(字段)截取HTTP请求搜索引擎劫持SQLmap注入注入基础知识使用DVWA来练习使用sqlmapSQLmap基本使用方法更多的选项简述利用过程其他常用的参数用法SQLmap能检测到的注入类型其他检测SQL注入的工具上传漏洞WEB解析漏洞简介IIS6.0解析漏洞APACHE漏洞PH...
Web安全深度剖析》摘要2
最新发布
Light_shoot的博客
11-14 136
Apache在解析文件时有一个原则:当碰到不认识的扩展名时,将会从后向前解析,直到碰到认识的扩展名为止,如果都不认识,则会暴露其源代码,比如: 1.php.rar.xs.aa ,Apache首先会解析aa扩展名,如果不认识,将会解析xs扩展名,这样一直遍历到认识的扩展名为止,然后再将其解析。一般在抓包拦截里传一句话木马。写入PHP文件,使用php://input 可以执行 PHP 语句,但使用这条语句时需要注意: php://input 受限于 allow_url_include ,需要激活时才能使用。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梦已成殇l

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值