- 博客(5)
- 收藏
- 关注
RSS订阅原创 知识散点(四)
DDOS,也就是处于网络层的分布式拒绝攻击 cc,处于应用层的分布式拒绝攻击。 DDOS攻击原理:在基于tcp/ip的三次握手中,攻击者利用伪造的ip地址连续不断地向服务器发送第一次连接,但是因为是伪造的ip,所以并不会回复服务器的握手请求,因为服务器是有上限的,所以这种胡乱占用资源的行为造成了其余正常资源的无法访问。 cc攻击原理:绿盟当年创建了防止DDOS攻击的工具,但是仅仅只是防止住了网络层的,并没有对应用层进行防治。 这种攻击原理也就是对网络资源消耗较大的行为进行连续多次重复的访问,造成网络资源的消
2021-03-06 16:05:03
75
原创 杂乱无章
认证(你是谁):认定一个人的身份的过程 授权(你可以做什么):确定了一个人的身份之后,授予他什么权限 凭证(你靠什么来确定你的身份):靠这个才可以认定一个人的身份 单因素认证:只靠一个因素来确定你的身份,比如:密码 多因素认证:靠多个因素来确定你的身份,比如:密码+密保+邮箱+手机号 http是一个无状态的协议,服务器是靠sessionid来确定每一个人的身份,我们成功登录之后,服务器不会再叫我们输入密码,而是颁发给我们一个sessionid,靠这个sessionid来打开一个session,有时候服务器会
2021-03-05 20:19:27
54
原创 知识散点(三)
网站基本架构:CMS,thinkphp,wordpress google hacking grammmer 中间件解析漏洞 简单的解释,编辑器漏洞//这个是个啥? web组件漏洞:struts2//和上面的中间件解析漏洞以及编辑器漏洞的区别 安全论坛(安全牛,绿盟,安全内参,先知社区) 风险评估:在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 从信息安全的角度来讲
2021-03-05 20:18:27
115
原创 知识散点(二)
sql注入,把用户输入的数据和代码混淆在一起了,使用户可以操控数据,并且数据可以被带到数据库里去执行, 防御方式: 使用预编译语句 使用安全的存储过程 检查数据类型 使用安全的函数 应该遵循“数据与代码分离”的原则。 CRLF注入,利用“\r\n”这两个换行符来进行操作,可以进行http头注入,防御方式,只要注意“\r\n”来作为分隔符的应用 xss,跨站脚本攻击,通过向网页注入恶意的HTML代码,让浏览器执行达到自己的目的,混淆原本的语义,产生新的语义。 可是跨站?怎么个跨站法呢? 三种类型xss 第一种
2021-03-03 14:33:44
55
2
原创 知识散点(一)
同源策略 同源策略是web的基础,当浏览器在加载页面脚本时,会对当前的脚本进行判断,如果不进行特殊允许,则不可以加载此页面的脚本。这个策略有效防止了很多的攻击。 打个比方,a.com中加载了b.com的脚本,这种情况是不允许的,除非得到了同意,在这里对同源策略下一个定义。 浏览器的同源策略,限制了来自不同源的“document”和脚本,对当前的“document”读取或者设置某些属性。 同源策略,关键在于子域名,端口,协议。 浏览器时不允许跨域获取资源的(一定情况下可以,oauth协议) 这种策略是基于一
2021-03-02 18:56:36
71
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人