Web安全

最新推荐文章于 2025-10-22 11:47:37 发布
原创 最新推荐文章于 2025-10-22 11:47:37 发布 · 682 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细探讨了Web应用的安全问题,包括验证机制、会话管理、SQL注入和XSS攻击。介绍了WASC的六大类威胁及OWASP漏洞分类。重点讲解了验证码、会话管理漏洞防御、SQL注入的防御方法以及XSS攻击的分类和防御措施。

Web应用

由动态脚本(HTML …),编译过的代码等组合成

通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,由Web应用和企业后台的数据库及其他动态内容通信

Web 应用的三层架构

在这里插入图片描述数据层:DOC层
业务逻辑层:Server层

安全问题一般在:Web层和业务逻辑层之间 (Web层发起HTTP请求)

  • 应用
    验证码:防止机器人
    长时间操作,session失效:放弃他人盗用

WASC将Web应用安全威胁分为六大类

Web Application Secutity Consority

  1. Authentication(验证):用来确认用户,服务或是应用身份的攻击手段

  2. Authorization(授权):用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段

  3. Client-Side Attack(客户端攻击):用来扰乱或是探测Web站点用户的攻击手段 eg. 绕过

  4. Command Execution(命令执行):在Web站点上执行远程命令的攻击手段

  5. Information Disclosure(信息泄露):用来获取Web站点具体系统信息的攻击手段

  6. Logical Attack(逻辑性攻击):用来扰乱或是探测Web应用逻辑流程的攻击手段

OWASP 漏洞分类

最低0.47元/天 解锁文章
WEB安全综述
一颗小白菜
11-26 614
web安全综述 1,web体系系统结构(由低到高的顺序) ①操作系统:Linux/Windows ②存储:web应用保存大量信息,包括平台信息、用户信息、服务器数据等 ③web容器:为上层开发语言提供运行环境(中间件有相同的功能) 中间件:联系操作系统和web应用,作为中转部分用来进行沟通联系,向web应用和操作系统执行连接。 apache/nginx:既可以起到web容器的作用,为编程语言提供环境的同时也是中间件,沟通web应用和操作系统 IIS ④web服务端语言:PHP/JSP/.NET ⑤web开发
web 网络安全
weixin_43506403的博客
07-09 1608
Web网络安全是网络安全的一个重要分支,专注于保护Web应用程序、服务和网站免受各种网络威胁
web安全防护指南,web安全入门(非常详细)从零基础入门到精通,收藏这篇就够了
最新发布
分享Python知识
10-22 954
Web安全是指保护Web应用程序和Web服务免受恶意攻击的一系列技术、策略和实践。Web服务具有开放性、可扩展性和互联性等特点,因此存在各种不同类型的攻击和威胁,如黑客攻击、网络钓鱼、恶意软件、拒绝服务等。Web的目标是确保Web应用程序和Web服务可靠、健壮和安全,防止它们被恶意攻击和滥用。为了实现这个目标,需要采取多种安全措施,包括但不仅限于:身份验证和授权输入验证和过滤输出编码和过滤会话管理和保护错误和异常处理安全的编码实践操作系统和服务器的安全配置网络安全和防火墙安全评估和测试。
WASC和OWASP到底是干啥的?
TiantianMami的博客
04-19 1217
WASCWeb Application Security Consortium)是一个由安全专家、行业顾问和多个组织的代表组成的国际团体。WASC的关键项目之一是“Web安全威胁分类”,该项目旨在将Web应用所受到的威胁和攻击进行详细说明,并归纳成具有共同特征的分类,以制定和推广行业标准术语。
安全Web 安全学习笔记
weixin_33893473的博客
12-05 331
背景 说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。 最简单的 W...
Web 安全
友人C君的博客
06-27 1279
XSS攻击 跨站脚本攻击(Cross Site Script) XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。 反射型 反射型xss一般指攻击者通过..
Web安全攻防渗透测试实战指南.zip
11-29
Web安全攻防渗透测试实战指南--Web安全攻防渗透测试实战指南 《Web安全攻防渗透测试实战指南》 绝佳好书,适合入门加进阶最近事情有点多,对书读取的进度有点慢,这是本可以打通筋脉的好书,深刻感触,很透彻我还在...
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
读书笔记:Web安全攻防渗透测试实战指南.zip
07-22
读书笔记:Web安全攻防渗透测试实战指南
国科大web安全技术期末CTF.pdf
11-22
国科大web安全技术期末CTF
白帽子讲web安全 完整版
03-12
《白帽子讲Web安全》是一本深入探讨网络安全领域中Web应用安全的专业书籍,全面覆盖了Web安全的基础理论、常见威胁及防御策略。随着互联网技术的不断发展,Web应用已经成为日常生活和工作中不可或缺的一部分,...
web安全
willow_liang的博客
11-23 484
nikto WEB描器(基于LibWhisker开发) 服务器软件配置错误 默认文件、不安全的文件 过期版本的软件 常见漏洞类型 扫描器 向目标发包,根据回包类型和内容进行判断 404错误检测逻辑( no404 ) 不存在的内容,服务器返回404 不存在的内容,服务器返回200 ,取关键字(不同类型的文件) 每种类型文件随机命名访问,取页面不变内容MD5值,进行比对(慢) nikto -h 192.168.1.1 -ssl nossl -p 80,
web安全(入门篇)
热门推荐
webbc的博客
07-25 7万+
web安全的概念太过于宽泛,博主自知了解的并不多,还需要继续学习。但是又想给今天的学习进行总结,所以今天特分享一篇关于web安全的文章,希望对初次遇到web安全问题的同学提供帮助。SQL注入 数据库表出现场景 当开发登录模块的时候,如果我们使用是mysql操作php,并非使用mysqli、PDO等;当查询用户是否存在的SQL是这样写的,select * from user where name =
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值