web前端黑客技术揭秘-记录一些自己不懂的知识点

最新推荐文章于 2024-05-12 17:45:00 发布
最新推荐文章于 2024-05-12 17:45:00 发布
阅读量496 收藏
点赞数
文章标签: web 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m2a3181/article/details/119059555
版权

第一章web安全得关键点

简单的xss攻击,原来没见过这种方式,记录一下
在这里插入图片描述在这里插入图片描述跨域访问资源
在这里插入图片描述自己理解的是当www.evil.com的脚本想要访问www.foo.com网站的资源时,这时因为是跨域,所以浏览器先发送一个请求到www.foo.com这个网站,询问这个网站是否同意我的跨域请求访问,在请求的字段里会加上一个origin来表名自己的身份
在这里插入图片描述当www.foo.com收到发来的请求后,会返回一个响应包,里面包含一个字段是Access-Control-Allow-Origin。如果www.evil.com在该字段中,则认为允许www.evil.com访问。这样,便实现了跨域请求。

跨域的重要性
在这里插入图片描述DOM的简单概念:
在这里插入图片描述

第二章 前端基础

se-cookie中的参数:
在这里插入图片描述其中的path很有意思,如果设置为/,则假设一个服务器中设置了好几个web应用,则均可以访问该cookie,具体参考该链接

https://www.cnblogs.com/tianguook/p/3451609.html

这里我认为可能会产生一些安全问题,如果设置不当,可能会造成cookie的滥用。

下面是介绍DOM树的:
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述这几张图要连起来看
iframe标签简介
在这里插入图片描述网页挂马的原理:
在这里插入图片描述利用方式
在这里插入图片描述也就是说当我们的网站解析了挂马的第三方网站时,浏览器可能会下载木马程序到我们的电脑上,如果我们再不小心执行了该木马,那就意味着我们的电脑沦陷了

js能够执行的位置
在这里插入图片描述对DOM树进行操作,获取隐私数据内容
在这里插入图片描述在这里插入图片描述Ajax介绍:
在这里插入图片描述

眺望&星空
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【网络安全】零基础入门网络安全劝退指北
互联网老辛
04-17 3372
作为从16年接触网络安全的小白,谈谈零基础如何入门网络安全,有不对的地方,请多多指教。 这些年最后悔的事情莫过于没有把自己学习的东西积累下来形成一个知识体系。 后续我也会陆续的整理网络安全的相关学习资料及文章,与大家一起探讨学习。 如何入门 简单了解网络安全 网络安全就是指的确保网络系统中的数据不被别人破坏,而网安工程师就是涉及程序来维护网络安全。 网安方向有很多职位,比如安全产品工程师,安全分析师,数据恢复工程师,网络架构工程师,安全编程工程师,以及网络集成工程师等。 工作内容主要包括: 安全评测,风
网络安全资料汇总!
weixin_46159811的博客
01-07 3872
1.网络安全资料汇总 web security: 《http权威指南》【图灵出品】   深入理解web http/https协议 ,了解超文本传输协议是如何进行传输和编译的。 《javascript权威指南》   淘宝前端团队翻译,深入了解前端js变量,注释,函数,表达式等,学习xss必备书籍。还提及了jquery类库。 《xs...
Web前端黑客技术揭秘
csdn1232的博客
02-26 300
Web前端黑客技术揭秘》基本信息作者: 钟晨鸣 徐少培 [作译者介绍]丛书名: 安全技术大系出版社:电子工业出版社ISBN:9787121192036上架时间:2013-1-20出版日期:2013 年1月开本:16开页码:36...
Web前端黑客技术揭秘 笔记
zljiaa的博客
09-13 495
第一章 同源策略,很重要,规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。 下面对概念中的 不同域、客户端脚本、授权、读写、资源做一些解释 不同域,同域要求两个站点同协议、同域名、同端口 客户端脚本主要是,JavaScript ...
WEB前端黑客技术揭秘》基础知识(一)
登天之路
10-25 3453
前言:基础太烂,在这做一下记录,对基础知识进行学习。 URL:统一资源定位符。 超文本传输协议(HTTP)的统一资源定位符将从因特网获取信息的五个基本元素包括在一个简单的地址中: 1、传送协议。 2、服务器。(通常为域名,有时为IP地址) 3、端口号。(以数字方式表示,若为HTTP的预设值“:80”可省略) 4、路径。(以“/”字元区别路径中的每一个目录名称) 5、查询。(GET模式
Web前端--黑客技术揭秘(菜鸟知识)
ljiechang的专栏
06-03 7193
一,Web安全的关键点 1.同源策略是众多安全策略的一个,是Web层面上的策略,非常重要。 2.同源策略规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源。 3.同域要求两个站点同协议,同域名,同端口。 4.当然,在同一个域内,客户端脚本可以任意读写同源内的资源,前提是这个资源本身是可读可写的。 5.安全类似木桶原理,短的那块板决定了木桶实际能装多少水。一个Web服务器,r
Web前端黑客技术揭秘 笔记1
wcc526的专栏
10-28 1509
一.URL编码方式       编码escape 解码 unescape       编码encodeURI 解码decodeURI       编码encodeURIComponent 解码decodeURIComponent
2022年Web前端开发流程和学习路线(详尽版)
weixin_47367099的博客
06-13 9145
前端侧重于人机交互和用户体验,后端侧重于业务逻辑和大规模数据处理。理论上,面向用户的产品里,所有问题(包括产品、设计、后端、甚至看不见的问题)的表现形式,都会暴露在前端,而只有部分问题(数据问题、计算问题、安全问题等)暴露在后端,这就意味着前端起到了至关重要的承载和连接作用。前端技术的更新日新月异;前端框架的技术选型百家争鸣;视觉审美的潮流不断更替;可视化效果酷炫无比;用户的运营体系逐渐精细化;适老化、无障碍化、青少年人群的诉求浮出水面;智能设备的升级和适配无穷无尽。所有的这一切,对前端领域和前端同学就一个
网络安全黑客技术)—2024自学手册
TDJYGC的博客
04-24 777
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
Web前端黑客技术揭秘(1)
m0_73344153的博客
11-30 302
Web安全的关键点
Web前端黑客技术解密
10-30
Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都是研究前端安全的人必备的知识点。本书作者深入剖析了许多经典的攻防技巧,并给出了许多独到的安全见解。 本书适合前端工程师阅读,同时也适合对Web前端各类安全问题或黑客攻防过程充满好奇的读者阅读,书中的内容可以让读者重新认识到Web的危险,并知道该如何去保护自己以免受黑客的攻击。
Web前端黑客技术揭秘(Web2Hack.org)_(d)致谢1
08-03
Web前端黑客技术揭秘(Web2Hack.org)_(d)致谢1
web前端黑客技术揭秘——ch01web安全关键点
weixin_42728957的博客
12-19 252
1、数据与指令 数据: 1、服务端存储的:数据库内存、文件系统 2、客户端存储的:本地cookie、Flash cookie等 3、传输中的:json数据、XML数据 4、文本数据:HTML、JavaScript、CSS等 5、多媒体数据:Flash、MP3等 6、图片数据 数据流的每个环节都可能出现安全风险。因为数据流有可能被“污染”,而不像预期的那样存储或传输。 如何存储、传输并呈现出这些数据...
Web前端黑客技术揭秘{笔记}
weixin_30279315的博客
12-03 922
前些日子看完了白帽子讲Web安全,当时就PHP安全一章做了点小笔记,感觉看书还是留下点东西比较好。翻开Web前端黑客技术揭秘一书决定要做笔记,但是这样下来其实进度就比较慢了,敲字做笔记绝对远比看书来的慢。有时候上午看完的内容做笔记时要花一天时间,一方面是要敲字,另一方面是自己只从书上摘录部分内容有时候需要将其串起来,还有就是碰上自己想发两句言也会拖慢进度。总之现在书是看完了,要消化的东西有挺多的,...
Web前端黑客技术揭秘》学习笔记 第一章
無意穿堂的博客
10-24 464
跨站攻击发生在浏览器客户端,而SQL注入攻击由于针对的对象是数据库,一般情况下发生在服务器端。HTML5提供了新的客户端存储机制:在浏览器端使用SQLite数据库保存客户端数据,该机制允许使用JS脚本操作SQL语句,与本地数据库进行交互。 同源策略:不同域的客户端脚本在没有明确授权的情况下不能读写对方的资源 不同域:协议不同:http/https               域名不同:...
[聊一聊系列]聊一聊WEB前端安全那些事儿
weixin_33963189的博客
08-22 542
欢迎大家收看聊一聊系列,这一套系列文章,可以帮助前端工程师们了解前端的方方面面(不仅仅是代码):https://segmentfault.com/blog... 随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊W...
Web前端开发中的黑客技术以及安全技术(共七种)
最新发布
qkh1234567的博客
05-12 773
想当黑客?是的,基本每个程序员都有一颗相当黑客的心。从【黑客帝国】再到【欧洲攻略】,Hackers总是在黑暗中微笑,慢慢的侵蚀着互联网,侵蚀着他想要去的地方,获取别人的数据库,获取自己想要的信息,是不是帅到不讲武德。但是,我们身为公司的员工,我们有义务和责任保护公司的信息安全,这时候,我们可能有需要和黑客作斗争,化身为正义的天神,与黑暗中那个微笑的男人征战。所以说,这篇文章我想告诉大家前端黑客是如何操作的以及在公司我们如何保护好项目不受侵犯。
Web爆破攻击实战】Web前端黑客技术解密
Innocence_0的博客
03-07 216
Web爆破攻击实战】Web前端黑客技术解密
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值