Web安全漏洞原理及防范(二)

最新推荐文章于 2024-07-15 13:13:49 发布
最新推荐文章于 2024-07-15 13:13:49 发布
阅读量67 收藏
点赞数
文章标签: web安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41897073/article/details/132453884
版权

1.会话认证漏洞

1.1 定义

cookie是WEB服务器返回给客户端的一段用来标识用户身份或者认证情况的字符串,保存在客户端,浏览器下次请求时会带上这个标识,故这个标识是可以被用户修改的。session则是保存在服务器端的信息,如果没用代码操作,客户端时不能直接修改session的,相对cookie更为安全。

1.2 危害

cookie注入、cookie伪造

1.3 防范思路

把cookie和session结合起来用,需要保护客户端不能操作敏感的session函数。

尽量不要把敏感信息直接放到cookie中去。

2.业务逻辑漏洞

2.1 定义

web应用程序一般都要实现特定的业务功能,在实现功能时会发生漏洞。

2.2 分类

①验证码安全

  • 无验证码造成垃圾用户大量注册
  • 不刷新直接绕过:将验证码明文或者加密放在cookie或者post数据包里。 
  • 无验证码或验证码太弱导致暴力破解
  • 验证码造成短信轰炸

防范思路

  • 使用高强度的验证码
  • 不把验证码放到html页面或者cookie中
  • 验证码要设置只能请求一次,请求一次后不管错误与否都在后端程序强制刷新
  • 设置验证码的错误次数

②投票/积分/抽奖(单个用户限制次数 )

  • cookie或者post请求正文绕过
  • 基于IP验证
  • 基于用户验证

防范思路

  • 机器识别认证,每台机器都根据硬件信息生成唯一的识别码
  • 用户信息congsession中获得

③支付逻辑漏洞

  • 价格可修改
  • 数量可修改

防范思路

  • 商品单价及总价不从客户端获取
  • 验证购买数量和价格,不得小于0

3.越权漏洞

3.1 定义

越权漏洞时WEB系统中一种常见的安全漏洞,即攻击者能够执行本来没有权利执行的操作。

3.2 分类

①未授权访问

敏感接口未授权访问导致敏感信息泄露

防范思路

敏感接口不暴露在公网上,即使必须这么做,也要设置好登陆验证

②水平越权

  • 对于一些敏感的数据,需要先验证用户身份再处理
  • uid等参数不能由前端传递,要从session中获得

③垂直越权

  • 无任何验证
  • 仅用前端js进行验证
  • 用cookie来验证用户身份

防范思路

  • 采用成熟的权限管理框架,如spring security
  • 用户进行访问操作的凭证放在session中获取

筱萱儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全常见漏洞原理、危害及其修复建议
c_programj的博客
06-01 5409
web安全常见漏洞原理、危害及其修复建议一、 SQL注入漏洞原理危害修复建议、XSS漏洞原理危害修复建议三、 CSRF漏洞原理危害修复建议四、 SSRF漏洞原理危害预防建议五、 文件上传漏洞原理危害修复建议六、 暴力破解危害修复建议七、 命令执行漏洞危害修复建议八、 文件包含漏洞原理危害修复建议九、 逻辑漏洞原理危害修复建议十、 XXE漏洞原理危害修复建议 一、 SQL注入漏洞 原理web应用程序对用户输入的数据合法性没有判断,导致攻击者可以构造不同的sql语句来对数据库数据库的操作。(web应用程序
Web常见安全漏洞原理防范-学习笔记
weixin_33950035的博客
11-28 450
公司在i春秋上面报的一个课程。http://www.ichunqiu.com/course/55885,视频学习。   OWASP (Open Web Application Secutiry Project)攻击类型排名   www.wooyun.com 中报的漏洞,大多是注入。   XSS 原理是提交的内容中有恶意代码。 通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的...
XSS漏洞原理防范措施
看着博客敲代码
06-05 1740
XSS(Cross Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,允许攻击者在受害者浏览网站时,通过注入恶意脚本(如JavaScript)到网页中,从而窃取用户敏感信息、篡改页面内容或进行其他恶意行为。
常见web漏洞原理,危害,防御方法
shayebudon的博客
03-28 6477
一 暴力破解 概述:在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 危害:用户密码被重置,敏感目录.参数被枚举 防御方法: 1.要求用户使用高强度密码 2.使用安全的验证码 3.对尝试登录的行为进行判断和限制 4.采用双因素认证 xss跨站脚本攻击 概述:分为反射型,存储型,DOM型 原理:程序对输入和输出没有做合适的处理,导致精心构造的字符输出在
常见web安全及防护原理
王春燕的博客
06-05 1037
一、SQL注入 、xss 跨站脚本(Cross-site Scripting) 三、 CSRF 四、上传漏洞 五、文件解析漏洞 六、 DDos攻击 分布式拒绝服务(Distributed Denial of service Attack) 七、目录遍历漏洞
浅谈web上存漏洞及原理分析、防范方法(安全文件上存方法)
10-27
我们知道,上存漏洞常见有,文件名检测漏洞,还有就是文件格式检查漏洞。 另外还有个一个,就是保存文件存在漏洞
常见的Web安全漏洞与防御.pptx
11-07
非常好的一个ppt,对常见的安全漏洞进行了整理,描述了各种安全漏洞原理,并作举例说明,并给出了防御方案。 可用于培训讲座。 资料难得,共享给大家
JavaScript注入漏洞的原理防范(详解)
11-29
总结来说,理解JavaScript注入漏洞的原理并采取有效的防范措施是保障web应用安全的关键。开发者应当始终保持警惕,对用户输入进行严格的控制,并定期进行安全性审计和测试,以降低此类漏洞的发生。
web安全技术-实验六、文件上传漏洞.doc
08-20
它包含各种常见的Web安全漏洞,如SQL注入、XSS攻击以及我们关注的文件上传漏洞,提供了一个实践和学习安全漏洞的平台。 3. **安全等级设置**:DVWA的安全等级分为多个级别,从"low"(低)到"impossible"(不可能)...
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 392
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
网络安全-基础网络概念1
LS_Ai的博客
07-11 549
计算机网络是一种将多个计算机系统和设备连接在一起的技术,目的是为了共享资源和信息。网络使得设备之间可以进行数据传输和通信,常见的网络包括局域网(LAN)、广域网(WAN)和城域网(MAN)。
网络安全】资产记录工具 Hacker Asset Logger 安装使用详细教程
最新发布
等风来
07-15 64
在对某一应用程序的多个页面、对多个相关联的应用程序进行渗透测试的过程中,多个请求包的参数、功能之间可能存在一定的联系。例如,在A页面触发的请求包中,通过UID可获取CustomerID;在B页面触发的请求包中,CustomerID用于Cookie身份鉴定、获取用户敏感信息、获取用户订单号OrderNo;在C页面触发的请求包中,OrderNo用于获取对应用户的敏感信息,如姓名、电话、地址、身份证。
等保测评助力网络安全治理现代化
waitaikong_的博客
07-14 282
等保测评,即信息安全等级保护测评,是依据国家相关法律法规和标准,对信息系统进行安全等级划分和安全性能评估的过程。它涵盖了从技术到管理、从人员到流程的多维度评估,旨在确保信息系统在面对各种威胁时的安全性和可靠性。随着网络技术的发展和网络安全形势的变化,等保测评在网络安全治理现代化中扮演着越来越重要的角色。
网络设备安全
weixin_48579910的博客
07-11 941
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
智能车存在网络安全隐患,如何应设计出更好的安全防护技术?
tigerman20201的博客
07-13 253
然而,高度的网络化和智能化也使智能车面临着严峻的网络安全挑战,如远程攻击、数据泄露和恶意控制等。未来,随着技术的不断发展,应持续加强对智能车网络安全的研究和创新,以应对不断变化的安全威胁。摘要:随着智能车技术的迅速发展,车辆的网络连接性不断增强,然而这也带来了诸多网络安全隐患。本文深入探讨了智能车面临的网络安全威胁,并提出了一系列创新的安全防护技术设计,旨在为智能车的安全运行提供更可靠的保障。黑客可以通过公共网络对智能车的通信系统进行攻击,干扰车辆的正常运行,甚至获取车辆的控制权。
智能车的网络安全隐患及其防护技术
tigerman20201的博客
07-13 364
本文分析了智能车的主要网络安全威胁,包括车辆通信系统、自动驾驶系统、以及车载娱乐系统的潜在风险。在此基础上,提出了多层次的安全防护技术,包括加密通信、入侵检测系统、以及区块链技术等,以提升智能车的网络安全水平。智能车的网络安全是一个复杂且重要的问题,需要多层次、多方面的技术防护。通过加密通信、入侵检测系统、区块链技术等多种手段的结合,可以有效提升智能车的安全性,保障乘客和行人的安全。未来,随着技术的进步和标准的完善,智能车的网络安全将得到进一步的保障。**题目:智能车的网络安全隐患及其防护技术**
网络安全】APDCL:IDOR + 账户接管
等风来
07-13 745
APDCL ,即印度阿萨姆邦电力分销公司(Assam Power Distribution Company Limited),是印度阿萨姆邦政府控制的公共部门企业,负责电力分配和供应服务,确保电力供应的稳定性和可靠性,以满足居民、工业和商业客户的电力需求。
网络安全法视角下的等保测评法律责任与风险控制
ddcajdkdl的博客
07-11 515
直接责任人员处罚:对于违反网络安全法规定,导致严重后果的,不仅单位要承担责任,直接负责的主管人员和其他直接责任人员也可能被处以罚款,甚至追究刑事责任。该法于2017年6月1日正式实施,其中对网络安全等级保护制度(简称“等保”)做出了明确规定,要求网络运营者根据其网络的重要程度及潜在影响,实施相应级别的安全保护措施。综上所述,从《网络安全法》的角度出发,等保测评不仅是法律规定的强制性要求,也是企业自我保护、规避法律风险、维护信誉和业务连续性的关键措施。
网络安全工作者如何解决网络拥堵
gmqqcsdn的博客
07-15 626
网络如同现代社会的血管,承载着信息的血液流动。然而,随着数据流量的激增,网络拥堵已成为不容忽视的问题,它像是一场数字世界的交通堵塞,减缓了信息传递的速度,扰乱了网络空间的秩序。作为网络安全的守护者,网络安全工作者必须运用战略智慧和技术手段,解决这一难题,确保每一位用户都能享受流畅的在线体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值