Web安全入门

最新推荐文章于 2024-07-19 16:27:02 发布
最新推荐文章于 2024-07-19 16:27:02 发布
阅读量43 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55016911/article/details/132181458
版权

攻击

XSS(Cross-Site-Script):跨站脚本
来源:开发者对用户的盲目信赖,对用户的提交不进行检验过滤

  • Store XSS:恶意脚本存在数据库,访问页面则读数据进而被攻击
  • Reflected XSS:不涉及数据库,攻击url,例如在url的param提交<script>脚本

CSRF(Cross-Site request forgery):跨站请求伪造漏洞
来源:在用户不知情前提下,使用用户cookie伪造用户发起http请求

Injection:注入
来源:恶意注入参数,例如请求字段直接被读取并拼接使用

防御

1、永远不信任用户提交内容
2、使用现成工具例如前端的google-closure-library或服务端的DomPurify

【作此随笔,未完待续】

SuuuuuuuN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全入门自学笔记—基础知识(一)
qq_54537919的博客
03-10 1731
Web安全入门—基础知识(一) 1.什么是WEB web (World Wide Web)即全球广域网,也称为万维网,它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统。是建立在Internet上的一种网络服务,为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面,其中的文档及超级链接将Internet上的信息节点组织成一个互为关联的网状结构。 ...
【愚公系列】2024年03月 《CTF实战:从入门到提升》 010-Web安全入门(PHP代码执行漏洞)
热门推荐
时光隧道
03-28 3万+
PHP代码执行漏洞是一种常见的安全漏洞,也被称为远程代码执行(Remote Code Execution,RCE)漏洞。这种漏洞的发生通常是由于程序员在编写代码时未正确过滤用户输入,导致用户能够将恶意代码插入到应用程序中,然后被解释器执行。攻击者可以利用这种漏洞执行任意代码,从而获取系统权限、窃取数据或者对系统进行进一步的攻击。未过滤用户输入:开发者在使用用户输入时必须进行严格的输入验证和过滤,避免直接将用户输入作为代码执行。eval() 和 exec() 函数。
vulnstack-Web安全入门进阶实战靶场配置
orange777
02-02 1629
Web安全入门进阶实战课程靶场为我们提供了很多web攻击靶场,免去了自己搭建过程中遇到的各种问题。但是在实际搭建过程中,发现配置上还有有点小问题,记录一下。 因为默认配置是127.0.0.1,也就是说只能在本地访问,其它主机想去访问则访问不到。有时候需要用到集成工具如果kali等其它辅助渗透的时候会不太方便,这里记录下修改配置记录。
一、web安全入门基础知识
weixin_45761101的博客
06-01 2万+
一、基础入门—概念名次 域名发现对应网安的意义? 一个网站的域名和他的子域名可能绑定于同一个IP地址,当我们进行漏洞扫描的时候他的主站没有找到漏洞那么我们就可以通过他子域名的网站绑定于同一个IP地址这个特点,对他的二级域名网站进行扫描,发现是否有漏洞,从而通过二级域名拿到主站的权限。 HOST文件和DNS有什么关系? 当我们进行IP地址解析的时候,我们电脑首先会通过本地host文件,去查找域名对应的IP地址。可以通过修改HOST文件当中的域名对应IP地址,例如让taobao.com对应的域名跳转到我们搭建的
WEB安全入门建议
u011710631的博客
02-11 1804
前言 Web入门文章一直想写一篇,但是一直没写,也犹豫了很多,毕竟对于入门文章太多了,但是我还是想写一篇,一篇非同寻常的入门到进阶.可能很多人已经入门了,但是我还是想发表一下自己的看法,如果有错误还希望大佬指出 0x01 可能对于很多刚入门的朋友感到迷茫,或者经常学习学着就没有方向,自己一直处于入门阶段,我现在也一直是这个阶段,我一直都在这个阶段,所以我有很多话要说,接下来步入正题,这是一篇毫无技...
Web安全入门基础知识(笔记)
Forget_liu的博客
03-27 2万+
域名就是网站地址的名称,例如顶级域名 baidu.com yuque.com 只有一个.域名二级域名 news.baidu.com tieba.baidu.com 加在顶级域名前的域名多级域名 test.news.baidu.com 加在在二级域名前的域名DNS是域名系统服务协议,主要用于域名和IP地址的相互切换例如在cmd命令控制台中可以通过 ping将域名解析成IP地址攻击者在得到权限后,留下后门文件方便下次进入;服务器后门,网站后门等等web使用的比较广web网站了漏洞相对较多。
小白学安全--web安全入门(非常详细)零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
02-08 1838
以上的web渗透安全相关的知识点,建议大家先去了解这些漏洞出现的原因,再去学习攻击这些漏洞,最后的最后才是学习如何去防范这些漏洞,这其中,几乎每一步都是难的,了解漏洞出现的原因,在你看到一个系统之后,你根本发现不了漏洞,更无法去了解他出现的原因了,常见的攻击思路是使用常见的漏洞攻击方式,一步步的去试(现在大部分后台框架都已经集成了常见攻击方式的防范策略,更高级的方式等待你们去开发),其中也包含一些社会工程学的应用,比如诱导邮件之类的,总之,网络攻防就像是一场战役,没有绝对安全的系统,一切都等待你们去发掘。
【3】web安全入门篇-渗透测试中常用的命令
weixin_43303273的博客
10-12 1万+
1.linux命令 渗透测试中常用的linux命令 上面博客提到的基本都能满足需求 2.cmd命令 常用的cmd命令 cmd命令和linux命令常用的对于web入门的萌新可以看看上面博客,多敲一敲用的时候查就行了 3.powshell Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。 它引入了许多非常有...
web安全入门指南
weixin_45380141的博客
12-01 2318
基础了解《计算机网络》 《html学两天 段落、文本 js三四天》 《脚本语言 python php asp》 《apache等服务器搭建》 《sql语法》 《windows linux语法 安全设置 权限设置 用户管理 文件管理 》 学习 w3school学基础 收集常用手册 了解owasp top10 web渗透方向主要学习sql注入、xss、csrf。 工具主要了解sqlmap、nmap、xray等即可。 快速入门Web安全 第一,多看多收集多做 第二,多和安全圈大佬沟通(自己实践之后,尽量问思路
CTF web安全45天入门学习路线
b1ackc4t的博客
01-23 7636
前言 因为最近在准备开发CTF学习平台,先做一个学习路线的整理,顺便也是对想学web的学弟学妹的一些建议。 学习路线 初期 刚刚走进大学,入了web安全的坑,面对诸多漏洞必然是迷茫的,这时的首要任务就是打好网站开发的基础,曾有伟人说过-“自己不会做网站,何谈去找网站的漏洞”,在学习漏洞前,了解基本网站架构、基础网站开发原理,基础的前后端知识,能够让你之后的漏洞学习畅通无阻。 html+css+js(2-3天) 前端三要素 html、css、js是被浏览器解析的代码,是构成静态页面的基础。也是前端漏洞如xss
WEB安全入门基础.pptx
08-24
WEB 安全入门基础 本资源摘要信息主要关注 WEB 安全入门基础,涵盖了 WEB 安全的基本概念、HTTP 协议、加密算法、DOS 命令、信息收集、渗透测试等方面的知识点。 WEB 安全入门基础 WEB 安全入门基础主要包括 WEB ...
web安全入门ppt课件.ppt
11-16
Web 安全入门 PPT 课件 本 PPT课件主要介绍了 Web 安全的基础知识,包括 Web 安全初探、Web 漏洞等内容。下面是从本 PPT 课件中提炼出的相关知识点: Web 安全初探 * Web 安全的重要性:Web 应用程序的安全性是...
WEB安全入门-task0
10-14
http协议、状态码、url请求协议
web安全应用入门.docx
11-29
Web 安全应用入门 Web 安全应用入门的知识点可以总结如下: Web 服务安全模型 * Web 服务安全模型是由微软和 IBM 共同定义的,以 WS-Security 规范为核心,保证了 SOAP 消息的安全性。 * 该模型引入了一个由各个...
WEB安全入门基础.zip
10-25
"WEB安全入门基础"这个主题是为初学者设计的,旨在帮助他们理解和掌握基本的Web安全概念。 首先,我们需要理解Web安全的基础:HTTP(超文本传输协议)和HTTPS(超文本传输安全协议)。HTTP是互联网上应用最为广泛的...
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 843
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
最新发布
亚信安全官方账号的博客
07-19 460
一站式云安全托管限时试用 开启全能高效攻防
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1098
区分不同的签名。
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 593
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
Web安全入门:基础篇与防护策略
Web安全防护指南-基础篇.pdf》是一份全面指导Web安全基础的实用手册,它深入浅出地介绍了Web开发过程中面临的关键安全问题。该指南分为两大部分:基础知识和网络攻击的基本防护方法。 在第一部分基础知识中,作者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值