Web安全基础篇(八 - 2)

最新推荐文章于 2024-10-12 12:26:23 发布
最新推荐文章于 2024-10-12 12:26:23 发布
阅读量145 收藏
点赞数
分类专栏: Web安全基础课程 文章标签: session cookie python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42383069/article/details/118271635
版权

Cookie与Session

一.认识Cookie与Session

Cookie

1. 为什么要使用Cookie?

web程序是使用HTTP协议传输的,而HTTP协议是无状态的协议,对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。

2. Cookie什么时候产生?

客户端向服务器端发送一个请求的时,服务端向客户端发送一个Cookie 然后浏览器将Cookie保存

3. Cookie存储位置:

Cookie存储与客户端,我们可以在浏览器中找到它如下:

在这里插入图片描述

Session

1. 什么是Session?Session什么时候产生?

Session:称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。简单来说就是在你登录一个网页后可以一段时间内保持登陆状态去浏览。

2. 为什么要使用Session?

因为Cookie保存在客户端,可以伪造,伪造Cookie实现登录进行一些HTTP请求。如果从安全性上来讲,Session比Cookie安全性会高一些。

二.验证过程简单实现

1. Python - flask 实现简单的Session登录:
(1)app.py

# -*- coding: utf-8 -*-
from flask import Flask, render_template, request, redirect, url_for, session, g
from dataclasses import dataclass

app = Flask(__name__,static_url_path="/")  # 添加 static_url_path="/" ,文件从当前目录开始
app.config['SECRET_KEY'] = "SAFKSDFASFDSSAFD"   # 设置SECRET_KEY,越复杂越好

# 简单来代替数据库,存放临时账户密码
@dataclass
class User:
    id: int
    username: str
    password: str

users = [
    User(1,"admin","admin"),
    User(2,"test","test"),
    User(3,"root","root")
]

@app.before_request
def before_request():  # 在每次访问之前都进行检测,如果检测到没有登录则强制返回登录页
    g.user = None
    if 'user_id' in session:
        user = [u for u in users if u.id == session['user_id']][0]
        g.user = user

@app.route("/login", methods = ['GET','POST'])
def login():
    if request.method == 'POST':     # 登录操作,如果为POST提交,则为登录操作
        session.pop('user_id',None)
        username = request.form.get("username",None)
        password = request.form.get("password",None)
        user = [u for u in users if u.username == username ]  # 遍历用户名看提交的用户名是否存在
        if len(user) > 0:
            user = user[0]
        if user and user.password == password:  # 若存在则查询密码是否正确
            session['user_id'] = user.id
            return redirect(url_for('proinfo'))

    return render_template("login.html")


@app.route("/proinfo")
def proinfo():   # 登录进去后简单展示个人信息
    if not g.user:
        return redirect(url_for('login'))

    return render_template("proinfo.html")

@app.route("/logout")
def logout():      # 清除session,并重定向到登录页
    session.pop("user_id",None)
    return redirect(url_for('login'))


if __name__ == "__main__":
    app.run(debug=True)

(2)登录页面(网上下载的,包含一些css等,在附件中)

<!DOCTYPE html>
<html lang="en">

<head>
    <title>测试登录界面</title>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <!--===============================================================================================-->
    <link rel="icon" type="image/png" href="images/icons/favicon.ico" />
    <!--===============================================================================================-->
    <link rel="stylesheet" type="text/css" href="vendor/bootstrap/css/bootstrap.min.css">
    <!--===============================================================================================-->
    <link rel="stylesheet" type="text/css" href="fonts/font-awesome-4.7.0/css/font-awesome.min.css">
    <!--===============================================================================================-->
    <link rel="stylesheet" type="text/css" href="fonts/Linearicons-Free-v1.0.0/icon-font.min.css">
    <!--===============================================================================================-->
    <link rel="stylesheet" type="text/css" href="vendor/animate/animate.css">
    <!--===============================================================================================-->
    <link rel="stylesheet" type="text/css" href="vendor/css-hamburgers/hamburgers.min.css">
    <!--===============================================================================================-->
    <link rel="stylesheet" type="text/css" href="vendor/animsition/css/animsition.min.css">
    <!--===============================================================================================-->
    <link rel="stylesheet" type="text/css" href="vendor/select2/select2.min.css">
    <!--===============================================================================================-->
    <link rel="stylesheet" type="text/css" href="vendor/daterangepicker/daterangepicker.css">
    <!--===============================================================================================-->
    <link rel="stylesheet" type="text/css" href="css/util.css">
    <link rel="stylesheet" type="text/css" href="css/main.css">
    <!--===============================================================================================-->
</head>

<body>

    <div class="limiter">
        <div class="container-login100">
            <div class="wrap-login100">
                <div class="login100-form-title" style="background-image: url(images/bg-01.jpg);">
                    <span class="login100-form-title-1">
                        欢迎登录--测试
                    </span>
                </div>

                <form class="login100-form validate-form" method="post" action="#">
                    <div class="wrap-input100 validate-input m-b-26" data-validate="用户名必填">
                        <span class="label-input100">用户名</span>
                        <input class="input100" type="text" name="username" autocomplete="off">
                        <span class="focus-input100"></span>
                    </div>

                    <div class="wrap-input100 validate-input m-b-18" data-validate="密码必填">
                        <span class="label-input100">密码</span>
                        <input class="input100" type="password" name="password" autocomplete="off">
                        <span class="focus-input100"></span>
                    </div>

                    <div class="flex-sb-m w-full p-b-30">
                        <div class="contact100-form-checkbox">
                            <input class="input-checkbox100" id="ckb1" type="checkbox" name="remember-me">
                            <label class="label-checkbox100" for="ckb1">
                                记住我
                            </label>
                        </div>

                        <div>
                            <a href="#" class="txt1">
                                忘记密码?
                            </a>
                        </div>
                    </div>

                    <div class="container-login100-form-btn">
                        <button class="login100-form-btn">
                            登录
                        </button>
                    </div>
                </form>
            </div>
        </div>
    </div>

    <!--===============================================================================================-->
    <script src="vendor/jquery/jquery-3.2.1.min.js"></script>
    <!--===============================================================================================-->
    <script src="vendor/animsition/js/animsition.min.js"></script>
    <!--===============================================================================================-->
    <script src="vendor/bootstrap/js/popper.js"></script>
    <script src="vendor/bootstrap/js/bootstrap.min.js"></script>
    <!--===============================================================================================-->
    <script src="vendor/select2/select2.min.js"></script>
    <!--===============================================================================================-->
    <script src="vendor/daterangepicker/moment.min.js"></script>
    <script src="vendor/daterangepicker/daterangepicker.js"></script>
    <!--===============================================================================================-->
    <script src="vendor/countdowntime/countdowntime.js"></script>
    <!--===============================================================================================-->
    <script src="js/main.js"></script>

</body>

</html>

(3)个人信息展示页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>个人资料</title>
</head>
<body>
    <h1>欢迎:{{g.user.username}}</h1>
    <p>用户编号 : # {{g.user.id}}</p>
    <a href="{{url_for('logout')}}">退出登录</a>

</body>
</html>

2. 测试效果
(1) 打开浏览器访问 http://127.0.0.1:5000/login
在这里插入图片描述
(2) 登录admin账户

登录成功,显示admin信息
(3) 新开一个浏览器,直接访问信息展示页面: http://127.0.0.1:5000/proinfo

在这里插入图片描述
可以看到,无需登录直接可以看到,我们查看cookie里面有Session字段.说明这里服务端验证Session成功,直接可以访问登录状态请求.

(4) 退出后尝试访问个人信息展示页面
在这里插入图片描述这里我们退出后,Session也被我们的后台清除,此刻再来访问个人信息展示页面:
在这里插入图片描述这里我们访问( http://127.0.0.1:5000/proinfo),被强制重定向到登录页面.说明服务器Session验证失败.

Beyond My
关注
专栏目录
网络安全基础知识----nginx安装
weixin_59086772的博客
03-30 6170
nginx安装 0x00 nginx介绍 Nginx(读音"engine x")是由俄罗斯程序员 Igor Sysoev 编写,2004年10月作为一个试图回答公众发布 C10K 问题。其中 C10k 是同时管理 10,000 个连接的挑战。Nginx 采用了事件驱动和异步架构,此设计使 Nginx 成为可扩展、高性能的服务器。 它是一个开源、轻量级和高性能的 Web 服务器,也用作 HTTP、HTTPS、SMTP、IMAP、POP3 协议的反向代理服务器,另一方面,它也用作 IMAP、POP3 和
JAVA:通过session 获取userid
Schon_zh的博客
10-15 1万+
controller获取userid HttpSession session = request.getSession(); I nteger userId = (Integer)session.getAttribute(&quot;userId&quot;);
Flask_Login 0.5.0里session[‘user_id’]的变动
披着狼皮的狐狸
04-01 727
Flask_Login 0.5.0里session[‘user_id’]的变动 session[‘user_id’]调用失败 在0.5的版本中之的session[‘user_id’]被修改了, 打开源码会发现原来的位置被session[’_user_id’] = user_id所替代 部分源码 def login_user(user, remember=False, duration=None, ...
web安全测试--基础
qq_64444051的博客
07-02 7994
web安全测试概念及常用工具
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 17万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
第一章-web安全基础(信息收集)
qq_46055185的博客
12-20 1770
第一章-web安全基础(学习笔记)信息收集Nmap扫描Nmap功能Nmap扫描方式主机存活发现主机端口发现服务版本识别操作系统识别Nmap输出结果 信息收集 Nmap扫描 Nmap功能 分为四大项: 主机存活检测 端口检测 服务识别 操作系统识别 Nmap扫描方式 方式 详解 -sS/sT/sA/sW/sM TCP SYN扫描、TCP connect()扫描、ACK扫描、TCP窗口扫描和TCP Mainon扫描 -sU UDP扫描 -sN/sF/sX TCP Null扫描、FIN
【3】web安全入门-渗透测试中常用的命令
weixin_43303273的博客
10-12 2万+
1.linux命令 渗透测试中常用的linux命令 上面博客提到的基本都能满足需求 2.cmd命令 常用的cmd命令 cmd命令和linux命令常用的对于web入门的萌新可以看看上面博客,多敲一敲用的时候查就行了 3.powshell Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。 它引入了许多非常有...
WEB安全基础-合集
10-23
WEB安全基础—合集,包含基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等。适合新手上手参考学习,通过本文档,可以快速了解渗透测试。
CISP-PTE-005-Web安全基础1 - HTTP协议.pptx
03-10
CISP-PTE CISP-PTE-005-Web安全基础1 - HTTP协议.pptx
002-CTF web题理论基础-第二课理论基础.pdf
07-09
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web...以上就是CTF Web题型的一些基础理论,掌握这些知识有助于理解并解决Web安全挑战。在实践中,还需要结合实际情况灵活运用,不断学习新的攻击技术和防御策略。
Web安全基础入门+信息收集培训视频.rar
11-24
Web安全渗适测试基础入门001,ppt WEB燝破口令工目实现原理解析wmv WEB名个架构信息探针补充wmv WEB名个架构信息探针实战Wm WEB目录文件扫描工具实现原理解析wmv WEB伪造数据包进行XS攻主演示Wmy 基于平台搭建ASP...
Web安全渗透测试基础入门视频.rar
08-13
Web安全渗透测试基础入门001ppt WEB爆破口令工具实现原理解析.wmv WEB各个架构信息探针补充Wmv WEB各个架构信息探针实战wmv WEB目录文件扫描工具实现原理解析.wmv WEB伪造数据包进行XSS攻击演示wmv 基于S平台搭建...
Flask web开发实战之基础 Flask-模板
weixin_39451323的博客
03-22 9056
基础 第二章 Flask模板前言3. Flask模板3.1 模板基本用法3.1.1 创建模板3.1.2 模板语法3.1.3 渲染模板3.2 模板辅助工具3.3 模板结构组织3.4 模板进阶实战3.5 本章代码 前言 这一切开始于2010年4月1日,Armin Ronacher在网上发布了一关于“下一代Python微框架”的介绍文章,文章里称这个Denied框架不依赖Python标准库,只需要复制一份deny.py放到你的项目文件夹就可以开始编程。伴随着一本正经的介绍、名人推荐语、示例代码和演示视频,
网络安全基础知识---nginx安全配置
weixin_59086772的博客
04-07 6719
nginx安全配置 隐藏版本号 `http { server_tokens off;}` 开启HTTPS server { listen 443; server_name xxx.com; ssl on; ssl_certificate /etc/nginx/certs/xxx.com.pem; ssl_certificate_key /etc/nginx/certs/xx.com.key; ssl_protocols TLSv...
浏览器实战----浏览器安全概述
qq_43511094的博客
01-18 5561
浏览器安全概述1. 揭秘浏览器1.1 同源策略1.2 HTTP首部1.3 标记语言HTMLXML1.4 CSS1.5 脚本JavaScriptVBScript1.6 DOM1.7 渲染引擎WebkitTridentGeckoBlink1.8 Geolocation(地理定位)1.9 Web存储1.10 跨域资源共享1.11 HTML52. 浏览器在强化防御方面的特性HTTP首部:1.内容安全策略2.安全cookie标志3.HttpOnly cookie标志4.X-Content-Type-Options5.
【人工智能学习之PaddleOCR快速上手】
最新发布
Jiagym的博客
10-12 680
在配置文件中,可以设置组建模型、优化器、损失函数、模型前后处理的参数,PaddleOCR从配置文件中读取到这些参数,进而组建出完整的训练流程,完成模型训练,在需要对模型进行优化的时,可以通过修改配置文件中的参数完成配置,使用简单且方便修改。而 L2 正则化中,添加正则化项的目的在于减少参数平方的总和。准确检测的标准是检测框与标注框的IOU大于某个阈值,正确识别的检测框中的文本与标注的文本相同。如果缺少带标注的数据,或者不想投入研发成本,建议直接调用开放的API,开放的API覆盖了目前比较常见的一些垂类。
"WEB安全基础-合集:SQL注入、XSS、CSRF等全面学习指南
WEB安全基础-合集,涵盖了基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等内容。这文章适合新手学习参考,通过学习这些知识可以快速了解渗透测试的基础知识。 在这合集中,作者首先介绍了WEB安全...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值