读书笔记
OKAY_TC
这个作者很懒,什么都没留下…
展开
-
黑客攻防技术宝典Web实战篇(第二版)_读书笔记(第一章~第三章)
//相关章节(第一章~第三章)第一章 Web应用程序安全与风险1.2.1 “本站点是安全的”漏洞测试过程中出现频率(2007年~11年):跨站点脚本(XSS)(94%) 跨站点请求伪造(CSRF)(92%) 信息泄露(78%):服务器返回的错误信息泄露配置信息等。 不完善的访问控制措施(71%):未控制好用户访问数据的权限,导致用户跨权限访问数据。 不完善的身份认证措施(6...原创 2019-03-13 22:49:15 · 1371 阅读 · 0 评论 -
黑客攻防技术宝典Web实战篇(第二版)_读书笔记(第四章~第五章)
第四章 解析应用程序4.1 枚举内容与功能4.1.1 Web抓取人工浏览或使用工具爬取Web站点的内容。robots.txt文件:列出了不希望Web爬虫访问或搜索引擎列入索引的URL。(有时存在敏感信息)自动化爬取的限制:一般无法正常处理不常用的导航机制(如复杂的JS代码动态建立和处理的菜单)。 可能无法抓取隐藏在编译客户端对象(如Flash、Java applet)中的...原创 2019-03-21 23:30:56 · 1267 阅读 · 1 评论 -
黑客攻防技术宝典Web实战篇(第二版)_读书笔记(第六章~第七章)
第六章 攻击验证机制一、验证技术:1. 基于HTML表单的验证2. 多元机制3. 客户SSL证书或智能卡4. HTTP基本和摘要验证5. 使用NTML或Kerberors、整合Windows的验证6. 验证服务二、 验证机制设计缺陷:1. 密码保密性不强:a) 非常短或空白的密码 b) 以常用的字典词汇或名称为密码 c) 密码和用户名完全相同 d) 仍然使用默认密...原创 2019-03-29 13:17:09 · 801 阅读 · 1 评论