web安全(一):Web安全入门

最新推荐文章于 2024-07-02 18:15:05 发布
最新推荐文章于 2024-07-02 18:15:05 发布
阅读量3.7k 收藏 16
点赞数 3
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40845019/article/details/102974875
版权

一、Web安全性措施

1、身份验证
  验证是识别一个人或系统(如应用程序)以及检验其资格的过程。在Intenet领域,验证一个用户的基本方法通常是用户名和口令。

2、授权
  授权是确定用户是否被允许访问他所请求的资源的过程。例如:在银行系统中,你只能访问你的银行账户,而不能访问别人的银行账户。授权通常是通过一个访问控制列表(ACL)强制实施,该列表指定了用户和它所访问的资源的类型。

3、数据完整性
  数据完整性是指数据从发送者传输到接收者的过程中数据不被破坏。

4、数据保密性
  数据保密性是保证除了应该访问它的用户外,别人都不能访问。

注意:授权与保密的区别
  二者对信息的保密方式不同。授权是防止信息到达无权访问的用户,而保密是保证信息即使被非法获取,也不能被使用。

二、验证的类型

1、HTTP Basic验证
  HTTP的基本验证。它是由HTTP1.1规范定义的,是一种保护资源的最简单和最常用的验证机制。当浏览器请求任何受保护的资源时,服务器都要求一个用户名和口令。只有用户输入了合法的用户名/口令,服务器才发送资源。

2、HTTP Digest验证
  HTTP摘要验证。除了口令是以加密的方式发送,其他与基本验证一样。
  优点:比基本验证安全。
  缺点:只能被IE5以上版本支持,许多Servlet容器不支持。

3、FORM-Based验证
  基于表单的验证。它类似于基本验证,但它使用用户自定义的表单来获得用户名和口令。开发时必须创建包含表单的HTML页面。

4、HTTPS Client验证
  客户证书验证。它采用HTTPS传输信息。HTTPS是在安全套接层之上的HTTP,SSL可以保证Internet上敏感数据传输的保密性。在这种机制中,当浏览器和服务器之间建立起SSL连接后,所有的数据都以加密的形式传输。
  优点:是这几种验证中最安全的。所有常用的浏览器都支持这种验证。
  缺点:它需要一个证书授权机构。

三、基本验证过程

客户请求一个受保护资源时,浏览器和Web容器之间实现身份验证的过程:
  1)浏览器向某个受保护资源(Servlet或JSPP)发送请求。此时,浏览器并不知道资源是受保护的,所以它发送的请求是一般的HTTP请求,如:

GET/login.do HTTP/1.1

  2)当服务器接收到对资源的请求后,首先在访问控制列表(ACL)中查看该资源是否是受保护的资源。如果不是,服务器将该资源发送给用户;如果是,它并不直接发送该资源,而是向客户发送一个401 Unauthorized(非授权)消息。在该消息中包含一个响应头告诉浏览器访问该资源需要验证。响应消息中还包括验证方法和安全域名称以及请求内容的长度和类型。

  3)当浏览器收到响应消息后,打开一个对话框提示输入用户名和密码。

  4)当服务器收到该请求,它将访问访问控制列表中检验用户名和密码,如果是合法用户且该用户可以访问该资源,它将发送资源并在浏览器中显示出来;否则,它将再一次发送401 Unauthorized消息,浏览器再一次显示用户名/密码对话框。

四、声明式安全与编程式安全

  1)声明式安全:是一个应用程序的安全结构,包括角色、访问控制及验证需求都在应用程序外部表示。在应用程序内通过部署描述文件(web.xml)声明安全约束。它仅能针对URL来设置哪些资源必须受到保护。
  2)编程式安全:主要使用HttpServletRequest接口中的有关方法实现。

五、用户与角色

  每个用户可以拥有一个或多个角色,每个角色限定了可访问的Web资源。在Web应用中,对资源的访问权限一般是分配给角色而不是实际的用户。一个用户可以访问其拥有的所有角色对应的Web资源。

安全域模型的使用

1)定义角色、用户以及用户与角色的映射

tomcat-users.xml

<tomcat-users>
        <role rolename="xxxx" />
        <role rolename="xxxx"/>
        ……
        <user username="xxxx" password="xxxx" />
        <user username="xxxx" password="xxxx" roles="xxxx"/>
</tomcat-users>

注意在tomcat-users.xml中添加或者修改就鄂塞和用户后需要重新启动tomcat。

2)定义安全约束
(1) <security-constraint> 定义受保护的Web资源集合、访问资源的角色以及用户数据的约束

<web-resource-collection> 定义一个或者多个Web资源集合
<auth-constraint> 指定可以访问受限资源的角色
<user-data-constraint> 指定数据应该如何在客户与服务器之间传输

(2)<login-config> 元素 定义使用的验证机制。验证机制不同,当Web客户访问受保护的Web资源时,系统弹出的对话框不同
(3)<security-role>元素 用来定义安全约束中引用的所有角色名

zmt0104
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全基础篇
hack0919的博客
04-04 1784
黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
web安全入门ppt课件.ppt
11-16
Web 安全入门 PPT 课件 本 PPT课件主要介绍了 Web 安全的基础知识,包括 Web 安全初探、Web 漏洞等内容。下面是从本 PPT 课件中提炼出的相关知识点: Web 安全初探 * Web 安全的重要性:Web 应用程序的安全性是...
「译」Web安全快速入门
weixin_33991727的博客
08-27 253
Web安全快速入门 ──几个Web开发人员必知的安全缩略语 原文:A quick introduction to web security 作者:Austin Tackaberry 发表时间:2018/8/15 译者:陈 昌茂 发表时间:2018/8/25 (转载请注明出处) 你有很多理由需要了解Web安全,比如: 你是一位关心个人...
【2024最新版】从零基础入门Web安全(超详细),收藏学习这一篇就够了_web安全入门
最新发布
weixin_57514792的博客
07-02 640
从零基础入门Web安全(超详细)
web安全入门指南
weixin_45380141的博客
12-01 2344
基础了解《计算机网络》 《html学两天 段落、文本 js三四天》 《脚本语言 python php asp》 《apache等服务器搭建》 《sql语法》 《windows linux语法 安全设置 权限设置 用户管理 文件管理 》 学习 w3school学基础 收集常用手册 了解owasp top10 web渗透方向主要学习sql注入、xss、csrf。 工具主要了解sqlmap、nmap、xray等即可。 快速入门Web安全 第一,多看多收集多做 第二,多和安全圈大佬沟通(自己实践之后,尽量问思路
Web安全入门(基础知识总结)
aifan8968的博客
07-11 550
1.目前常用网络数据库主要有: Access,微软的小型数据库,主要用于小型网站,大都采用ASP+Access组合 Mssql,微软的大型数据库,主要用于中小型网站 MySQL,Oracle公司的中小型数据库,开源,主要用于中小型网站,大都采用PHP+MySQL组合 Oracle,Oracle公司的大型数据库,一般用于一些大型网站中 2.动态网页主要由ASP,PHP,AS...
web安全入门篇)
热门推荐
webbc的博客
07-25 6万+
web安全的概念太过于宽泛,博主自知了解的并不多,还需要继续学习。但是又想给今天的学习进行总结,所以今天特分享一篇关于web安全的文章,希望对初次遇到web安全问题的同学提供帮助。SQL注入 数据库表出现场景 当开发登录模块的时候,如果我们使用是mysql操作php,并非使用mysqli、PDO等;当查询用户是否存在的SQL是这样写的,select * from user where name =
WEB安全入门基础.pptx
08-24
WEB 安全入门基础 本资源摘要信息主要关注 WEB 安全入门基础,涵盖了 WEB 安全的基本概念、HTTP 协议、加密算法、DOS 命令、信息收集、渗透测试等方面的知识点。 WEB 安全入门基础 WEB 安全入门基础主要包括 WEB ...
web安全应用入门.docx
11-29
Web 安全应用入门 Web 安全应用入门的知识点可以总结如下: Web 服务安全模型 * Web 服务安全模型是由微软和 IBM 共同定义的,以 WS-Security 规范为核心,保证了 SOAP 消息的安全性。 * 该模型引入了一个由各个...
WebAPI入门指南-闲话安全
02-26
WebAPI入门指南有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着WebAPI的安全性来展开,介绍一些安全的基本概念,常见安全隐患、相关的防御技巧以及WebAPI提供的安全机制。...
WEB安全入门-task0
10-14
http协议、状态码、url请求协议
web安全之路的规划
gh0stf1re的博客
03-24 1776
我的web安全学习策略 一、开始前的思考 我真的喜欢搞安全吗? 我只是想通过安全赚钱钱吗? 我不知道做什么就是随便。 一辈子做信息安全吗 目的 本文目的是带大家快速入门web安全,不会搞些虚张声势的东西都是我的学习经验. 不会涉及到特别详细的技术,而是指导你在如何系统的学习时少走弯路,节约时间。要有自信。不要觉得任何人和任何事有多牛逼,不低估自己,不高估别人。认真学习。...
web安全入门-基础篇(上)
Yzz_的博客
05-10 785
奋斗,努力,加油 一步一个脚印,记录自己的成长。 1.PHP: 编程语言.核心描述 能开发网站 <?php ?> 标识,算是格式 echo 'Hello World'; 代码, echo 指令:输出。echo就是一个输出的功能 单引号‘’内的包含的就是 字符串 分号;指结束 2,继续 <?php $:变量 sex:代表,表示 两个等号:作比较,相对立的 sex=判定是某个变量 if如果是这个变量会执行 如果不是这个变量执行对立的变量 <?php
web 安全入门(一)
bob_baobao的博客
11-30 424
一、XSS 1.1 定义 XSS(Cross Site Scripting),即为跨站脚本攻击,恶意攻击者向web页面中植入恶意js代码,当用户浏览到该页时,植入的代码被执行,达到恶意攻击用户的目的。 1.2 危害场景 通过document.cookie盗取cookie 使用js或css破坏页面正常的结构与样式 流量劫持 配合csrf攻击完成恶意请求 … 1.3 分类 (1)反射型 XSS 反...
web安全入门(1)
weixin_45846085的博客
08-26 456
搭建环境kali 搭建kali环境一、下载Vmware虚拟机vmware虚拟机网上资源很多找到下载安装就可以了。二、下载kali镜像首先去kali linux的官网下载对应的镜像文件官网网址 www.kali.org Downloads 最新版本kali就行了三、安装kali首先打开Vmware虚拟机第一个典型安装简单下面会让你选择你下载的镜像然后选择安装liunx系统再往下,要填写虚拟机名称以及安装的位置。这个就自己填写就可以填写磁盘大小,这个自己看着给就可以了,然后将虚拟机存储为单个文件
简单web安全入门
Galaxy_0的博客
03-17 370
简单web安全入门
web安全入门
qq_43481905的博客
12-10 560
XSS 定义:一种网站应用程序的安全漏洞攻击,是代码注入的一种。 功能:通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的脚本。如果需要收集来自被攻击者的数据,可以自行架设一个网站,让被攻击者通过JavaScript等方式把收集好的数据作为参数提交,随后以数据库等形式记录在攻击者自己的服务器上。 常用的XSS攻击手段和目的有: 盗用cook...
Web安全入门
aiqu9621的博客
09-17 242
最近项目涉及到安全方面,自己特意了解了一下,记录在此,共同学习。 常见的web安全有以下几个方面 同源策略(Same Origin Policy) 跨站脚本攻击XSS(Cross Site Scripting) 跨站请求伪造CSRF(Cross-site Request Forgery) 点击劫持(Click Jacking) SQL注入(SQL Injection) 同源策略 含义...
WEB安全_基础入门_基础概念
erfan_lang的博客
08-09 1228
目录域名1.什么是域名2.域名在哪里注册3.什么是二级域名多级域名4.域名发现对于安全测试的意义?DNS1.什么是DNS?2.本地HOSTS与DNS的关系?3.CDN是什么?与DNS的关系?4.当用户请求一个文件时,cdn的工作过程1.) 缓存投毒(DNS污染)2.) DNS劫持3.) 域名劫持4.) DNS DDOS攻击5.) 反射式DNS放大攻击脚本语言1.常见的脚本语言类型有哪些?2.不同脚本类型与安全漏洞的关系?后门1.什么是后门?有哪些后门?2.后门在安全测试中的实际意义?3.关于后门需要了解哪些
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值