- 博客(9)
- 收藏
- 关注
原创 其他安全问题
1.拒绝服务攻击DOS:模拟正常用户,大量占用服务器资源,导致无法服务正常用户。类型:1.TCP半连接,导致服务器陷入等待,2.HTTP连接,3.DNS2.大规模分布式拒绝服务供给DDOS:流量可达上百G,分布式(肉鸡、代理),极难防御DOS攻击防御:1.防火墙2.交换机、路由器3.流量清洗4.高防IPDOS攻击预防:1.避免重逻辑业务2.快速失败快速返回3.防雪崩机制...
2019-05-30 20:12:22 170
原创 信息泄露
信息泄露主要包括:1.泄露系统的敏感信息2.泄露用户敏感信息3.泄露用户密码信息泄露的途径:1.错误信息失控2.SQL注入3.水平权限管理不当4.XSS/CSRF防止信息泄露手段:OAuth思想1.一切行为由用户授权2.授权行为不泄露敏感信息3.授权汇过期OAuth思想:将业务和敏感资料分离,用户登录后派发凭证,执行业务时把凭证发给业务层,业务层拿用户发的凭证到敏感...
2019-05-30 19:27:43 440
原创 上传问题漏洞
大部分网站都支持文件上传功能,但文件上传功能可能会出现问题,比如用户上传了可执行文件,再次访问文件时系统将文件执行,将会造成不可估计的危害。上传问题防御:1.限制上传后缀(不完全可靠,可绕过)2.文件类型检查(不完全可靠,可绕过)3.文件内容检查(不完全可靠,可被欺骗)4.程序输出5.权限控制-可写和可执行互斥...
2019-05-29 21:47:26 139
原创 SQL注入
关系型数据库:可存放结构化数据,可高效操作大量数据,方便处理数据之间的关联关系。常见的关系型数据库有:access/sqlite/mysql/mssql server/orcale。通过给查询条件携带恒等(or 1=1)或恒不等(or 1=0)去探测该网站是否存在sql注入风险。通过mid(version(),1,1)=5等表达式探测数据库版本的信息。通过union select 1,2,...
2019-05-29 21:13:59 94
原创 密码安全
1.密码的作用:证明你是你,一般通过存储的密码和输入的密码进行比对。2.密码的存储3.密码的传输4.密码的替代方案5.生物特征密码的问题(如指纹)密码泄露渠道:1.数据库被偷2.服务器被入侵3.通讯被窃听4.内部人员泄露数据5.其他网站(撞库)密码存储:1.严禁密码明文存储(防泄漏)2.单项变换(防泄漏)3.变换复杂度要求(防猜解)4.密码复杂度要求(防猜解)5...
2019-05-28 22:16:07 238
原创 点击劫持
点击劫持是指通过劫持用户的点击,完成用户并不知情的操作。原理是通过iframe将目标操作页面放到劫持页面中,但是可见度设置为0,将背景图片展示给用户,即用户并不能看到该iframe,用户仅可看到并以为操作的是iframe的背景图片。点击劫持的特点: 1.用户亲手操作 2.用户并不知情 3.可以获取用户资金或其他敏感信息点击劫持防御: 1.通过js设置禁止内嵌...
2019-05-28 20:34:54 284
原创 Cookies
Cookies是前端数据存储的一种方式,由后端通过http头设置,发送请求时通过http头将值传给后端。前端也可以对Cookies进行读写操作。Cookies遵循同源策略。Cookies特性: 1.域名 2.有效期 3.路径,仅在设置路径下的请求才会携带目标cookie 4.http-only,仅支持http协议 5.secure,仅支持htt...
2019-05-27 21:53:05 82
原创 CSRF
CSRF(Cross Site Request Forgy)跨站请求伪造,是指其他网站在用户不知情的情况下向目标网站发送请求。对于需要POST方式提交的后端方法,完成一次CSRF需要在伪造页面构造一个隐形表单并自动提交。而对于GET方式即可操作的后端方法,完成一次CSRF仅仅只需要通过页面对目标地址进行GET请求即可,如使用<img>标签通过src属性对某网站的文章进行评论,并且生...
2019-05-27 21:03:18 101
原创 XSS
看了大牛的XSS预防的视频教程,这里作为学习笔记记录一下心得。XSS是指跨站脚本攻击,一般形式为:用户通过输入非法内容,使系统进行不该发生的操作。XSS的类型有反射性和存储型。反射性指程序通过url取参时得到非法参数进行调用,存储型指非法内容保存到数据库中,系统从数据库中获取到用户输入的非法内容进行调用。相对而言,存储型XSS可能造成的危害会更大。XSS经常出现的地方:1.元素内容,如...
2019-05-26 19:50:13 1356 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人