白帽子讲Web安全之学习笔记
大青呐
精神的锐利不可能产生于舒适的环境中。
展开
-
《白帽子讲Web安全》| 学习笔记之应用层拒绝服务攻击
第13章应用层拒绝服务攻击 1、DDOS简介 DDOS又称为分布式拒绝服务,全称是Distributed Denial of service。DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。 2、应用层DDOS CC攻击:CC攻击是对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务端资源的目的。 防御应用层DDOS: 限制请求频率。在应用中针对每个“...原创 2019-07-13 09:35:36 · 220 阅读 · 0 评论 -
《白帽子讲Web安全》| 学习笔记之HTML5安全
第6章 HTML5安全 1、新标签的XSS HTML5中新增的一些标签和属性,使得XSS等Web攻击产生了新的变化。有安全研究员建立了一个HTML5 Security Cheatsheet项目。(链接:https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet或http://html5sec.org/) 2、iframe的sandbo...原创 2019-07-10 10:12:47 · 6039 阅读 · 0 评论 -
《白帽子讲Web安全》| 学习笔记之注入攻击
第7章注入攻击 注入攻击的本质是,把用户输入的数据当作代码执行。有两个关键的条件:一是用户能够控制输入;二是原本程序要执行的代码,拼接了用户输入的数据。 1、SQL注入 SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入攻击是一种比较常见的针对数据库的漏洞攻击方式。在SQL注入的过程中,如果网站的Web服...原创 2019-07-10 11:43:09 · 430 阅读 · 0 评论 -
《白帽子讲Web安全》| 学习笔记之文件上传漏洞
第8章 文件上传漏洞 1、文件上传漏洞 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。 文件上传漏洞安全问题: 上传文件是WEB脚本文件,服务器的WEB容器解释并执行了用户上传的脚本,导致代码执行; 上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为(其他通过类是方式控制策略文件的情况类似)...原创 2019-07-11 09:35:44 · 213 阅读 · 0 评论 -
《白帽子讲Web安全》| 学习笔记之认证与会话管理
第9章认证与会话管理 1、Who am I? 认证的目的是为了认出用户是谁,而授权的目的是为了决定用户能够做些什么。 认证实际上就是一个验证凭证的过程。 2、密码的那些事 密码必须以不可逆的加密算法,或者是单向散列函数算法,加密后存储在数据库中。 目前业界普遍密码加密方法是:将明文经过哈希后(比如MD5或者SHA-1)在保存到数据库。 目前黑客们广泛使用的一种破解MD5后密码的方法...原创 2019-07-11 10:14:07 · 184 阅读 · 0 评论 -
《白帽子讲Web安全》| 学习笔记之访问控制
第10章访问控制 1、What Can I Do? 权限控制,或者说是访问控制,都是某个主体(subject)对某个客体(object)需要实施某种操作(operation),而系统对这种操作的限制就是权限控制。 在一个安全系统中,确定主体的身份是“认证”解决的问题;而客体是一种资源,是主体发起的请求的对象。在主体对客体进行操作的过程中,系统控制主体不能“无限制”地对客体进行操作,这个过程...原创 2019-07-11 18:00:20 · 210 阅读 · 0 评论 -
《白帽子讲Web安全》| 学习笔记之加密算法与随机数
第11章加密算法与随机数 1、加密算法 常见的加密算法通常分为分组加密算法与流密码加密算法。 分组加密算法基于“分组”(block)进行操作,根据算法的不同,每个分组的长度可能不同。分组加密算法的代表有:DES、3-DES、Blowfish、IDEA、AES等。 下图演示了一个使用CBC模式的分组加密算法的加密过程: 流密码加密算法,则每次只处理一个字节,密钥独立于消息之外两者通过...原创 2019-07-12 10:03:03 · 388 阅读 · 0 评论 -
《白帽子讲Web安全》| 学习笔记之Web框架安全
第12章 Web框架安全 1、MVC框架安全 MVC是Model-View-Controller的缩写。它将web应用分为三层,View层负责用户视图、页面展示等工作,Controller负责应用的逻辑实现,接收View层传入的用户请求,并转发给对应的Model做处理;Model层则负责实现模型,完成数据的处理。 在Spring框架中可以使用spring security来增加系统的安...原创 2019-07-12 11:06:54 · 5992 阅读 · 0 评论