【WEB安全专栏】
文章平均质量分 83
web安全
¥诸葛村夫¥
年少无为,还不知进退
展开
-
反爬研究---时间戳防盗链技术
文章目录1. 时间戳防盗链1.1 时间戳防盗链原理1.2 时间戳防盗链鉴权过程(七牛云)1.3 时间戳防盗链处理方案(无CDN)2. referer防盗链2.1 防盗链2.2 使用场景2.3 访问链接来源2.4 防盗链过滤器处理3. 防盗链其他方案4. 参考文档1. 时间戳防盗链1.1 时间戳防盗链原理时间戳防盗链的目的是使得每个请求的 url 都具有一定的 “时效性”,所以 url 本身需要携带过期时间相关的信息,同时还需要确保这个过期时间不能被恶意修改,因此采用 md5 算法,将 key、过期时原创 2022-04-09 18:35:12 · 1348 阅读 · 0 评论 -
2021-07-08-web安全之CSRF漏洞理解
文章目录什么事CSRFCSRF攻击重点CSRF攻击场景浏览器Cookie机制CSRF检测CSRF的预防二次确认Token验证什么事CSRFCSRF(Cross-Site Request Forgery)是跨站请求伪造,也常常称为"One Click Attack"或者"Session Riding",CSRF与XSS的跨站脚本攻击很相似,但是攻击方式完全不同,CSRF更具危险性,被称为“苏醒的巨人”CSRF通俗理解:攻击者盗用了你的用户身份,以你的名义进行了某些非法操作(转账,汇款),CSRF能够使原创 2021-07-08 01:48:54 · 169 阅读 · 0 评论 -
2021-07-06-web安全之XSS攻击和Cookie知识详解(二)
文章目录读写CookieJAVA读写CookieJavaScript读写CookieSessionXSS FrameworkXSS GetShellXSS 蠕虫病毒(XSS Worm)XSS漏洞XSS漏洞修复PHP方式Java方式XSS可能发生的场景HttpOnly参考文档读写CookieJAVA读写Cookiejava提供了操作Cookie的类,下面是示例参考参考链接:https://www.cnblogs.com/lanxiamo/p/5889285.htmlJavaScript读写Coo原创 2021-07-06 23:51:48 · 524 阅读 · 4 评论 -
2021-07-01-web安全之XSS攻击和Cookie知识详解(一)
文章目录XSS攻击XSS攻击原理XSS攻击类型反射型XSS存储型XSSDOM XSS手动检测XSS全自动检测XSSXSS高级利用XSS会话劫持Cookie理解Cookie内容详解XSS攻击XSS又叫CSS,即跨站脚本攻击—攻击者通过浏览器在网页中嵌入客户端脚本,通常是js恶意代码,当用户使用浏览器时,脚本就会在浏览器上执行XSS是客户端攻击,受害者最终是用户,但是管理员也是用户,管理员权限很大,受到攻击影响很严重XSS攻击原理XSS攻击原理:引诱用户去点击其脚本,通过运行其脚本获取Cooki原创 2021-07-01 00:35:33 · 758 阅读 · 0 评论 -
2021-07-01-web安全之SQL注入漏洞
SQL注入漏洞形成原因文章目录SQL注入漏洞形成原因注入漏洞分类数字型注入字符串型注入SQL SERVER常见的注入形式MySQL常见注入形式SQL Server语句解析用户输入的数据被SQL解释器执行注入漏洞分类数字型注入当输入的参数为数字型时,为数字型注入。例如下面正常语句:HTTP://www.test.com/test.php?id=8select * from table where id=8sql注入一般为:HTTP://www.test.com/test.php?id原创 2021-07-01 00:32:56 · 430 阅读 · 6 评论 -
2021-07-01-web安全之漏洞扫描
常见漏洞类型SQL注入漏洞(SQL injection)跨站点脚本攻击(cross-site scripting)缓冲区溢出(buffer overflow)常用漏洞扫描器Burp SuiteBurp Suite的Target模块是用来漏洞扫描的Burp Suite的Spider模块类似一个爬虫工具,可以完整地枚举应用程序的内容和功能,同时spider可以设置爬行线程,爬行深度,请求头,表单登录等Scanner模块是Burp Suite的扫描漏洞模块。可以针对全站扫描也可以针对单一UR原创 2021-07-01 00:30:58 · 880 阅读 · 0 评论 -
2021-07-01-web安全之信息探测
什么是信息探测所谓信息探测就是:收集目标资料,主要包含目标服务器的配置信息和网站信息。1、网站注册人2、目标网站系统3、目标服务器系统4、目标网站相关子域名5、目标服务器所开放的端口6、服务器存放的网站收集子域名一般使用Google Hack的语法进行搜索site:baidu.com收集web信息site指定域名intext正文中存在关键字的网页intitle标题中存在关键字的网页info一些基本信息inurlURL存在关键原创 2021-07-01 00:28:23 · 455 阅读 · 0 评论 -
2021-06-10-web安全基础知识
web安全基础知识文章目录web安全基础知识学习Burp Suite Proxy汇总Fiddler--一款优秀的web调试工具Fiddler的常用命令Fiddler常见的插件工具常用的抓包工具SEO之搜索引擎劫持黑帽SEO常用的方案通过curl请求获取请求头和响应头# 请求头curl -I www.baidu.com# 响应头curl -v www.baidu.com学习Burp Suite Proxy汇总通过验证javaScript的防止输入用户"<",">","sci原创 2021-06-10 23:11:18 · 261 阅读 · 2 评论