web安全的那点事儿

最新推荐文章于 2023-05-18 11:05:59 发布
最新推荐文章于 2023-05-18 11:05:59 发布
阅读量293 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25107499/article/details/51674791
版权

最近看了一些关于web安全的书

首先常用的功能是用黑名单和白名单。

第一点,xss攻击:通常指的的在页面渲染的时候,攻击者通过注入恶意的html代码,进而在用户浏览网页的时候,对用户的浏览器进行攻击,控制浏览器。      

xss有多种类型,第一中是反射型xss,这个往往需要诱使用户点击一个恶意的链接

第二种:存储型xss,这种xss会把用户输入的数据存储在服务器端,有很强的稳定性。

防御的好的办法:

设置httponly,输入检查,使用xss filter,变量输出的时候使用编码或转义的方式来防御xss攻击。 htmlEncode

htmlparser会优先于jsparser

csrf:cookie有两种,一种是session cookie是一种临时的cookie,这种cookie没有empiore时间,所以如果关闭浏览器后记不会再有(失效了),对于本地cookie是保持在本地里面,同时有一个过期的时间。

csrf的防御:1.用验证码解决。

2。referer check用检查请求是不是来自合法的源。

3。最好的办法是使用一个token,token可以放在服务器的session中,也可以放在用户的cookie中。也可以防止重复提交。

sql注入:使用预编译语句,绑定变量。

密码加密

点击劫持

认证和会话管理:session和会话的安全

访问控制L:给予尽量少的权限。、

ajax请求中,插入一个保护token的htto头。

在session中绑定token,也可以在cookie中,form表单提交的时候自动填入token,这个需要配置。

十点半了,先回去了,下次再写

奥特打小怪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全渗透测试基本流程
xueshenlaila的博客
03-15 2802
对于web应用的渗透测试,大致可分为三个阶段:信息收集、漏洞发现以及漏洞利用。在实践过程中需要进一步明细测试的流程,以下通过9个阶段来描述渗透测试的整个流程: 1.明确目标 1)确定范围:测试的范围,如:IP、域名、内外网、整站or部分模块 2)确定规则:能渗透到什么程度(发现漏洞为止or继续利用漏洞)、时间限制、能否修改上传、能否提权… 目标系统介绍、重点保护对象及特性。 是否允许数据破坏? 是否允许阻断业务正常运行? 测试之前是否应当知会相关部门接口人? 接入方式?外网和内网? 测试是发现问题就算.
【网络安全】---web网络安全总结
热门推荐
qq_53061847的博客
05-28 1万+
我们页面常见的web安全问题有: 一、保证我们的前端页面没有漏洞可循 xss跨站点脚本攻击: 不要新人任何用户的输入, 能跟用户产生交互的地方都需要对参数进行转译或者过滤 文件上传漏洞攻击: 校验文件格式, 后端限制存放文件路径的权限,限制运行脚本 SQL注入攻击: 对用户输入进行转译, 后端采用预编译的sql,不要直接使用前端参数 CSRF 跨站请求伪造 anti CSRF token: 原理是从后端拿过来的html文件会在session存储一个随机的验证信息, 每次请求都发送这个验证信息进行校
关于Web安全的那些事(XSS攻击)
Jasky2011的博客
09-05 303
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌...
启动ubuntu,出现stopping log initial device creation的解决方法
奥特打小怪的博客
12-05 3649
今天在启动虚拟机中的ubuntu的时候,突然出现了,卡在了stoping log initial device creation的地方的情况,以前都是好好的,搜索了文档,但是没有发现 有解决的方法,那就只有将就这样了,我在停下的地方按了Esc后,进入里面,按I忽略出现的问题。        看来没什问题,打开浏览器后百度主页打不开。于是在命令行里面输入 sudo dhclient。能用网了。
网络安全实验——web安全
weixin_58628068的博客
05-18 3248
XSS(Cross-Site Scripting)是一种常见的Web应用程序漏洞,攻击者可以通过注入恶意脚本来获取用户的敏感信息或者控制用户的账户。攻击者可以通过在输入框、URL参数等地方注入恶意脚本来实现XSS攻击。为了防止XSS攻击,应该对用户提交的数据进行过滤和转义,避免将用户输入的内容作为HTML或JavaScript代码直接输出到页面上。在盗取rookie(一个虚拟人物)的实验中,攻击者通过在评论中注入恶意脚本,来实现对rookie账户的控制。
Web安全之认证机制
java后端开发的博客,不仅仅是后端开发
07-13 2356
“认证”是很容易理解的一种安全手段,常见的认证方式就是用户名和密码。那么“认证”和“授权”是一回事吗?
白帽子讲web安全读后感
wswr的博客
03-11 999
第一章 我的安全世界观 安全问题本质就是信任问题【你总要制定一个基准以此判断是否安全,这个基准怎么理解呢,比方上传文件,做的限制和过滤就是一个基准,通过这个基准你去信任自己是否是安全的】 安全是一个持续的过程【攻防都在进步,道高一尺魔高一丈,不断出现的漏洞和对应补丁就是很好的例子去理解为什么持续的安全】 白帽子兵法: Secure by Default(默认的安全)一方面是白名单思想【黑名单存在被各种可能的绕过】,一方面是最小权限原则(最差的情况即使被攻克了,拿到的权限也不高) 纵深防御原则:一方
WEB安全的历史
Sylon的博客
06-14 1330
exp === exploit 漏洞利用代码 中国 黑客发展的 几个阶段 启蒙时代 ,黄金时代 ,黑暗时代 启蒙时代 -- 大致在 20世纪 19年代 中国互联网刚起步 一些青年收外国黑客技术影响 开始研究安全漏洞 大多都是个人爱好 黄金时代 -- 这个时代是以中美黑客大战为便签 黑客这个特殊的群体引起了光大人民的关注 吸引了无数的青少年走上了这题路 ...
Web会话管理安全问题
weixin_42081313的博客
06-11 1327
Web会话管理安全问题
白帽子讲web安全(精写含思维导图)
加油~
06-06 6602
安全从业必读
Web Service 那点事儿(3)—— SOAP 及其安全控制 - ImportNew1
08-03
Web Service那点事儿(3)中,作者黄勇深入讲解了SOAP及其在安全性方面的控制。 首先,WSDL(Web Services Description Language)是SOAP服务的核心组成部分,它提供了对Web服务的规范描述,让客户端知道如何与...
基于WEB的应用系统安全方案.doc
01-07
在构建基于WEB的应用系统时,安全方案至关重要,以确保数据安全和业务逻辑的稳定运行。以下是对【标题】"基于WEB的应用系统安全方案.doc"及其【描述】的详细解析: 首先,我们需要关注的是数据安全需求,它包含了三...
Web Service 那点事儿(2)—— 使用 CXF 开发 SOAP 服务 - ImportNew1
08-03
Web Service 那点事儿(2)—— 使用 CXF 开发 SOAP 服务】 Web Service是一种基于标准协议的,用于不同系统间交换数据的技术。SOAP(Simple Object Access Protocol)是Web Service常用的一种通信协议,它定义了...
WEB安全测试
10-27
WEB安全测试》一书是安全测试领域中的经典之作,对于深入理解Web应用程序的安全性具有极高的指导价值。Web安全测试旨在确保Web应用程序在运行过程中能够抵御各种恶意攻击,保护用户数据安全,防止系统被破坏。以下...
计算机系统结构(02325)自考真题(201704)
最新发布
07-28
计算机系统结构(02325)自考真题(201704) 计算机系统结构(Computer Architecture)也称为计算机体系结构,它是由计算机结构外特性,内特性,微外特性组成的。经典的计算机系统结构的定义是指计算机系统多级层次结构中机器语言机器级的结构,它是软件和硬件/固件的主要交界面,是由机器语言程序、汇编语言源程序和高级语言源程序翻译生成的机器语言目标程序能在机器上正确运行所应具有的界面结构和功能。 计算机系统结构指的是什么? 是一台计算机的外表? 还是是指一台计算机内部的一块块板卡安放结构? 都不是,那么它是什么? 计算机系统结构就是计算机的机器语言程序员或编译程序编写者所看到的外特性。所谓外特性,就是计算机的概念性结构和功能特性。用一个不恰当的比喻一,比如动物吧,它的"系统结构"是指什么呢? 它的概念性结构和功能特性,就相当于动物的器官组成及其功能特性,如鸡有胃,胃可以消化食物。至于鸡的胃是什么形状的、鸡的胃部由什么组成就不是"系统结构"研究的问题了。
国家电零售业中上市公司融资问题研究—以国美电器为例.docx
07-28
国家电零售业中上市公司融资问题研究—以国美电器为例.docx
python + opencv 加载 onnx 人脸检测模型识别人脸测试使用的 人脸照片
07-28
python + opencv 加载 onnx 人脸检测模型识别人脸测试使用的 人脸照片
亲测运营版PHP汽车二手车拍卖网站源码事故车竞拍拍卖系统
07-28
PHP汽车二手车拍卖网站源码 事故车竞拍拍卖系统/内附安装教程 安装说明: 1、导入文件到数据库 2、配置数据库连接地址\include\conn.inc.php 3、后台地址 : 域名/manage
构建安全Web应用:体系结构与设计关键
本指南是关于Web应用程序安全设计的专业指南,旨在为结构设计人员、设计师和开发人员提供一套全面的安全设计策略,以创建最安全的应用程序。它强调了在设计初期就需要整合可靠的安全架构和方法,同时充分考虑部署...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值