web安全基本思路

最新推荐文章于 2022-08-26 09:54:16 发布
最新推荐文章于 2022-08-26 09:54:16 发布
阅读量2.6k 收藏
点赞数
文章标签: 网络安全 安全漏洞 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55778885/article/details/121668505
版权

文章目录

web访问流程
  1. 浏览器获取HTML代码,在本地展现
  2. 使用HTTP、HTTPS协议进行数据的传输
  3. web容器(IIS、apache、Nginx)
  • 解析数据-----解析文件、数据问题
  1. web语言(php、JavaScript、python、.net。。。)执行代码
  2. 数据库
web漏洞查找

1、查看本地代码

2、使用截断器在HTTP、HTTPS传输过程中,修改网页上无法修改的数据

  • 截取数据、观察数据、修改数据、绕过页面代码判断

3、语言漏洞

4、数据库漏洞

注入类漏洞
  • 主要是将数据变成代码
如何判断漏洞

1、先进行输入测试,只要可以报错(不正常);就有戏

  • 跳出数据;打破数据包裹
如何构造代码
說書人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
打通Web安全思路:为什么我们需要同源策略?
郊眠寺
11-03 609
要了解什么是同源策略,我们得先来看看什么是同源。如果两个 URL 的协议、域名和端口都相同,我们就称这两个 URL 同源。比如下面这两个 URL,它们具有相同的协议 HTTPS、相同的域名 time.geekbang.org,以及相同的端口 443,所以我们就说这两个 URL 是同源的。浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。两个不同的源之间若想要相互访问资源或者操作 DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。
Web安全基础篇
最新发布
hack0919的博客
04-04 1760
黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
Web 应用程序安全设计指南
Aone --- 无限的未知
04-24 3256
Web 应用程序安全设计指南更新日期: 2004年04月12日本页内容 本模块内容 目标 适用范围
Web安全的原理及解决方案
科研者的博客
09-16 203
看了一些Web安全的文章,有些讲得非常好,也非常详细,但不够言简意赅;本文是个吸取了他们的精华之后总结,以清晰明了、言简意赅为目的。 目录 1. XSS (Cross Site Script) 跨站脚本攻击 1.1. 示例 1.2. 原理 1.3. 解决方案 2. CSRF(Cross-Site Request Forgery)跨站请求伪造攻击 2.1. 原理 2.2. 解决方案 3. SQL 注入 3.1. 示例 3.2. 解决方案 4. 点击劫持 4.1. 示例 4.2. 解.
web安全是指什么
godkun的博客
01-24 2476
主要指两个方面 私密性 不被非法获取和利用。 可靠性 不丢失不损坏不被篡改。 体现在几个方面 代码层面 架构层面 运维层面 安全问题的考虑 用户身份被盗用 用户密码泄露 用户资料被盗取 网站数据库泄露 还有一些其他的安全问题 web安全的重要性为什么这么高 直面用户,挑战严峻 网站和用户安全是生命线 安全事故威胁企业生产,口碑甚至生存 有哪些安全隐患 跨站脚本
Web安全(上)---Web架构分析
weixin_34326429的博客
05-13 273
Web安全---架构分析  Jack zhai 一、 Web安全不仅仅是互联网才需要  Web服务是指采用B/S架构、通过Http协议提供服务的统称,这种结构也称为Web架构,随着Web2.0的发展,出现了数据与服务处理分离、服务与数据分布式等变化,其交互性能也大大增强,也有人叫B/S/D三层结构。互联网能够快速流行得益于Web部署上的简单,开发上简便,Web网页的开发大军迅速超过了以往任何计...
教程分享Web安全基础入门
03-17
这个教程旨在帮助初学者了解Web安全的基本概念,包括信息收集、漏洞检测以及渗透测试的基础知识。 1. **信息收集**:这是渗透测试的第一步,包括对域名、解析信息、网站和服务器信息的调查。你可以通过公开的DNS...
代码审计-企业级Web代码安全架构-247页.zip
10-08
《代码审计-企业级Web代码安全架构》是一本详尽阐述企业级Web应用程序代码安全的...通过深入阅读和实践,读者不仅可以掌握代码审计的基本技能,还能培养出一套完整的安全意识和方法论,以应对不断演化的网络安全挑战。
web测试思路
11-06
以下是对Web测试基本思路的详细阐述: **一、功能测试** 1. **链接测试**: - 链接有效性:验证每个链接是否指向正确的目标页面,确保没有死链。 - 目标页面存在:确保被链接的页面真实存在并可访问。 - 孤立...
构建更加安全Web应用程序
03-03
本文内容包括:更多安全性的要求使用这个框架模型结构框架对象的合作实现思路场景分析示例代码Struts其他扩展结束语参考资料开发人员总是在与Web应用程序中的操作和数据篡改作斗争。本文提供了一个保护这些漏洞的...
web服务器安全措施有哪些?
qq2500582012的博客
09-05 3205
1.更改服务器远程端口。 更改默认端口,默认端口相对来说是不安全的,建议修改默认远程端口为随机5位数的端口。 2.设置防火墙并关闭不需要的服务和端口。 防火墙是网络安全的一个重要组成部分,通过过滤不安全的服务而降低风险。安装服务器时,要选择绿色安全版的防护软件,以防有被入侵的可能性。对网站提供服务的服务器,软件防火墙的安全设置最高,防火墙只要开放服务器端口,其他的一律都关闭,你要访问网站时防火墙会...
web安全(入门篇)
热门推荐
webbc的博客
07-25 6万+
web安全的概念太过于宽泛,博主自知了解的并不多,还需要继续学习。但是又想给今天的学习进行总结,所以今天特分享一篇关于web安全的文章,希望对初次遇到web安全问题的同学提供帮助。SQL注入 数据库表出现场景 当开发登录模块的时候,如果我们使用是mysql操作php,并非使用mysqli、PDO等;当查询用户是否存在的SQL是这样写的,select * from user where name =
Web 渗透测试思路总结
Aka1Sz
10-13 2万+
1.无论什么站,无论什么语言,我要渗透,第一件事就是扫目录,最好一下扫出个上传点,直接上传shell,诸位不要笑,有时候你花很久搞一个站,最后发现有个现成的上传点,而且很容易猜到,不过这种情况发生在asp居多!   2.asp(aspx)+MSSQL先考虑注入,一般的注入都有DBowner权限可以直接写shell;如果写不了,或者web与数据库分离,那就猜数据,从后台下手了,后台可以上传或者
Web安全原则设计概述
weixin_34233679的博客
06-15 540
Web安全原则1认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁。2对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权。...
WEB安全简单题思路
qq_45957210的博客
12-10 447
WEB安全简单题解题思路 #SQL注入漏洞测试(布尔盲注) 需要用到的工具 kali linux sqlmap sqlmap使用方法及其命令 ##下面开始实际操作 启动环境后看到上述页面首先我们要判断是否能进行sql注入 最为经典的单引号判断法: 在参数后面加上单引号,比如: http://xxx/abc.php?id=1’ 如果页面返回错误,则存在 Sql 注入。 原因是无论字符型还是整型都会...
WEB安全&渗透测试 初期的思路介绍
dianyanxia的博客
01-20 2038
目录   一、专业名词是什么? 二、一般网站的渗透过程是怎样的呢? 三、网站渗透是为了获取什么?得到什么? 四、常规的漏洞有哪些?漏洞会产生哪些结果?          漏洞分类:                      1、SQL注入:通过数据库与脚本的传输中产生的安全问题,获取网站的数据,也有的可以直接获取网站权限。                              ...
web安全】常见web安全问题及解决思路
坚信万物皆可切的切图仔
11-24 6128
前言  web安全是我们面试中经常遇到的问题,而在实际项目开发中,尤其一些大型项目,web安全显得尤为重要。那么本文阿彬就给大家大概总结一下常见的一些web安全问题以及防御手段。 1.xss XSS(Cross Site Scripting)跨站脚本攻击,因为缩写和css重叠,所以改叫XSS,跨脚本攻击是指通过存在安全漏洞web网站注册用户的浏览器内非法的非本站点HTML标签或javascript进行一种攻击。 实现条件 1.利用虚假输入表单骗取用户个人信息 2.利用脚本窃取用户的c
【知识点】web安全怎么
指错||纠正||建议||水评+点赞&&评论&&关注&&转发,在这里你大概率会有所收获
08-26 2274
Web安全怎么
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8343
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Web安全入门:基础篇与防护策略
Web安全防护指南-基础篇.pdf》是一份全面指导Web安全基础的实用手册,它深入浅出地介绍了Web开发过程中面临的关键安全问题。该指南分为两大部分:基础知识和网络攻击的基本防护方法。 在第一部分基础知识中,作者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值