- 博客(9)
- 收藏
- 关注
RSS订阅原创 其他安全问题
1.拒绝服务攻击DOS:模拟正常用户,大量占用服务器资源,导致无法服务正常用户。 类型:1.TCP半连接,导致服务器陷入等待,2.HTTP连接,3.DNS 2.大规模分布式拒绝服务供给DDOS:流量可达上百G,分布式(肉鸡、代理),极难防御 DOS攻击防御: 1.防火墙 2.交换机、路由器 3.流量清洗 4.高防IP DOS攻击预防: 1.避免重逻辑业务 2.快速失败快速返回 3.防雪崩机制 ...
2019-05-30 20:12:22
177
原创 信息泄露
信息泄露主要包括: 1.泄露系统的敏感信息 2.泄露用户敏感信息 3.泄露用户密码 信息泄露的途径: 1.错误信息失控 2.SQL注入 3.水平权限管理不当 4.XSS/CSRF 防止信息泄露手段:OAuth思想 1.一切行为由用户授权 2.授权行为不泄露敏感信息 3.授权汇过期 OAuth思想:将业务和敏感资料分离,用户登录后派发凭证,执行业务时把凭证发给业务层,业务层拿用户发的凭证到敏感...
2019-05-30 19:27:43
450
原创 上传问题漏洞
大部分网站都支持文件上传功能,但文件上传功能可能会出现问题,比如用户上传了可执行文件,再次访问文件时系统将文件执行,将会造成不可估计的危害。 上传问题防御: 1.限制上传后缀(不完全可靠,可绕过) 2.文件类型检查(不完全可靠,可绕过) 3.文件内容检查(不完全可靠,可被欺骗) 4.程序输出 5.权限控制-可写和可执行互斥 ...
2019-05-29 21:47:26
169
原创 SQL注入
关系型数据库:可存放结构化数据,可高效操作大量数据,方便处理数据之间的关联关系。常见的关系型数据库有:access/sqlite/mysql/mssql server/orcale。 通过给查询条件携带恒等(or 1=1)或恒不等(or 1=0)去探测该网站是否存在sql注入风险。 通过mid(version(),1,1)=5等表达式探测数据库版本的信息。 通过union select 1,2,...
2019-05-29 21:13:59
125
原创 密码安全
1.密码的作用:证明你是你,一般通过存储的密码和输入的密码进行比对。 2.密码的存储 3.密码的传输 4.密码的替代方案 5.生物特征密码的问题(如指纹) 密码泄露渠道: 1.数据库被偷 2.服务器被入侵 3.通讯被窃听 4.内部人员泄露数据 5.其他网站(撞库) 密码存储: 1.严禁密码明文存储(防泄漏) 2.单项变换(防泄漏) 3.变换复杂度要求(防猜解) 4.密码复杂度要求(防猜解) 5...
2019-05-28 22:16:07
263
原创 点击劫持
点击劫持是指通过劫持用户的点击,完成用户并不知情的操作。原理是通过iframe将目标操作页面放到劫持页面中,但是可见度设置为0,将背景图片展示给用户,即用户并不能看到该iframe,用户仅可看到并以为操作的是iframe的背景图片。 点击劫持的特点: 1.用户亲手操作 2.用户并不知情 3.可以获取用户资金或其他敏感信息 点击劫持防御: 1.通过js设置禁止内嵌...
2019-05-28 20:34:54
310
原创 Cookies
Cookies是前端数据存储的一种方式,由后端通过http头设置,发送请求时通过http头将值传给后端。前端也可以对Cookies进行读写操作。Cookies遵循同源策略。 Cookies特性: 1.域名 2.有效期 3.路径,仅在设置路径下的请求才会携带目标cookie 4.http-only,仅支持http协议 5.secure,仅支持htt...
2019-05-27 21:53:05
92
原创 CSRF
CSRF(Cross Site Request Forgy)跨站请求伪造,是指其他网站在用户不知情的情况下向目标网站发送请求。 对于需要POST方式提交的后端方法,完成一次CSRF需要在伪造页面构造一个隐形表单并自动提交。而对于GET方式即可操作的后端方法,完成一次CSRF仅仅只需要通过页面对目标地址进行GET请求即可,如使用<img>标签通过src属性对某网站的文章进行评论,并且生...
2019-05-27 21:03:18
110
原创 XSS
看了大牛的XSS预防的视频教程,这里作为学习笔记记录一下心得。 XSS是指跨站脚本攻击,一般形式为:用户通过输入非法内容,使系统进行不该发生的操作。 XSS的类型有反射性和存储型。反射性指程序通过url取参时得到非法参数进行调用,存储型指非法内容保存到数据库中,系统从数据库中获取到用户输入的非法内容进行调用。相对而言,存储型XSS可能造成的危害会更大。 XSS经常出现的地方:1.元素内容,如...
2019-05-26 19:50:13
1385
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人