网络安全

最新推荐文章于 2023-12-02 22:59:26 发布
最新推荐文章于 2023-12-02 22:59:26 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s297165331/article/details/50600142
版权

最近在开发dileber框架的生成工具,生成大概明天就能上线,中间先插入一段无关紧要的博客,博客主要讲关于网络安全的:

日后会在dileber框架中体现安全开发


---------------------------------------我是分隔线--------------------------------------------------------------------------

先简单介绍一下XSS

XSS是一种注入类攻击目前分为三种

1、反射性

2、存储性

3、dom型

简单的xss大概就是一段js脚本代码

其他的还有 ifrom  img标签一类的

大概作用可以窃取cookie什么的,

如果要防范的话,

策略上呢,防止cookie被窃取用httponly可以解决,将关键的cookie用httponly

html最好在输出端做操作,貌似owasp可以帮你解决一类的


还有一种 CSRF(跨站请求伪造

大概这种请求对受害者需要了解的比较多才能做到,

比如在受害者经常进入的网站里嵌入脚本什么的,链接的话就可以帮助你完成你想要的


解决方案呢:

可以试着验证 refer~什么的,但是不是很好

进一步可以试着用token来做验证

目前java的一些网站框架就自带这些东西了


还有一种就是 SSRF

大概就是服务器不小心被自己坑了~~


有关mysql 的权限~~要低权限哈~~别给太高的权限


注意文件上传的问题,如果上传了可执行文件,就会出现问题,注意监测

down.jsp?path=1.jsp


还有注意网站重定向


如果重定向是依靠网址重定向,则可能会被劫持跳转到其他钓鱼网站。


查询服务器目录

如果页面中有传路径查看文件可能会出现问题

比如  path=../etc/password

或者 ../WEB-INF/web.xml


解决过滤 ../

或者用file表或者hash值来做id

注意这些请求

curl:

ftp:

file:


sql注入工具 

sqlmap


xss

御剑


用户的role权限不建议写在session中






二蛋和他的大花
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux服务器状态监控软件-psdash安装教程
cbzcbzcbzcbz的博客
07-27 3048
centOS安装psdash并进行访问加密
非入侵式Linux 性能监控面板 NetData安装部署流程。
u010797364的博客
10-08 2892
构建最佳的实时健康监控和性能故障排除解决方案: Netdata 是一款 Linux 性能实时监测工具.。以web的可视化方式展示系统及应用程序的实时运行状态(包括cpu、内存、硬盘输入/输出、网络等linux性能的数据)。 netdata官网:https://www.netdata.cloud/about netdata文档:https://docs.netdata.cloud/ NetData 是一个用于系统和应用的分布式实时性能和健康监控工具。它提供了对系统中实时发生的所有事情的全面检测。你可以在高度互
基于 Python+flask 构建态势感知系统(附完整源码)
m0_59596937的博客
12-02 707
好的文章离不开粉丝的分享、推荐,资料干货、资料分享、数据、技术交流提升,均可加交流群获取,群友已超过2000人,添加时最好的备注方式为:来源+兴趣方向,方便找到志同道合的朋友。适配linux,且由于作者水平有限,中间件只支持apache,确保linux用户权限为root,且安装有iptables防火墙命令(不需要告警可忽略iptables)如需修改,请修改install.py和config.py里的数据库密码和路径。方式②、微信搜索公众号:Python学习与数据挖掘,后台回复:态势感知系统。
基于大数据的网络安全态势感知技术研究
10-17
分析了传统网络安全防御体系的不足及应用大数据技术进行网络安全分析的 优势,并在此基础上提出了一种集安全数据采集、处理、分析和安全风险发现、监测、报警、预判于一体的安全态势感知平台。该平台整合安全区域内用户终端、网络链路、应用系统、数据流量等各类感知数据源,经统一汇聚存储后,利用机器智能分析技术,结合数据处理、安全规则模型、攻击推理模型等分析算法,将看似毫无联系、混乱无序的安全日志、报警数据转化 成直观的可视化安全事件信息,从海量数据中挖掘威胁情报,从而实现风险发现、安全预警和态势感知,提升安全监测的攻击发现和安全态势感知的能力。
每个人都该懂点网络安全
wenniuwuren
02-29 2525
网络安全再怎么强调都不过分, 朋友在的一个创业公司因为网络安全问题, 导致用户大量流失, 上亿的融资项目可能因为网络安全问题而陨落...
汽车网络安全 ISO21434
05-25
汽车网络安全 ISO21434
网络安全架构
11-29
规范网络技术架构、互联标准及安全区域划分、同一Internet出口
网络安全题库.doc
04-22
网络安全题库包含试题以及答案,适合大学生期末复习备考,还有网络安全考试等使用。同样社会公司技术员有网络安全的认证考试也可以下载使用。
网络安全意识
11-04
网络安全意识培训,针对政府、企业各行各业的单位人员入门级网络安全意识培训,资源整理不易,希望能帮到大家,提高大家的网络安全意识。
网络安全基础实操
04-02
网络安全防护基础知识 含基础的网络安全防护跟实操
态势感知 + DataV:安全可视化交互,这么玩儿
DONGYUXIA15810857916的博客
08-29 5033
点击查看全文 在安全领域,“看见”的能力很大程度上影响着风险防御的有效性。将未知的风险以可视化的方式展示,让企业安全团队有“踏实感”和“存在感”。 在安全可视化上,阿里云首批MVP,千寻位置安全负责人傅奎想出了“跨界玩法”,用阿里云的两大产品:态势感知和DataV,实现交互式安全威胁发现。 Let's Make It True. 文章介绍的,是如何使用DataV
空间战场态势感知系统
热门推荐
digihail2016的博客
02-23 1万+
现代战争强调C4ISR技术,指挥中心在千里万里之外,要通过信息化技术对整个海、陆、空、天、电磁战场进行全面的了解、掌握和指挥控制,那么传统指挥部里的行军地图、模型沙盘就已经不敷使用了。扁平化的战场上,不但战情瞬息万变,而且成千上万个作战单元和平台,其中不少都需要指挥部越级进行直接指挥。怎么样才能在“中军帐”中完成这样复杂而事无巨细的指挥任务呢?现代信息化技术带来的“空间战场态势感知指挥可视化技术”,就是解决这一难题的钥匙。
Linux服务器安全策略实战
lsj960922的博客
09-18 480
Linux服务器就是采用Linux系统的网络服务器,同时也有采用windows的服务器,作用是类似的。而Linux并不是一个特定的系统,而是使用Linux内核的系统, 现在发行版很多,Red hat是其中一个常用做服务器的发行版。 通常我们可以将服务器看做一台配置功能强大的超级电脑,它也有自己独立的操作系统,其中核心系统以Linux系统为主的服务器,我们都可以称为Linux服务器,在服务器选择时...
如何学习网络安全
weixin_33806509的博客
11-18 350
首先,必须(时刻)意识到你是在学习一门可以说是最难的课程,是网络专业领域的顶尖课程,不是什么人、随随便便就能学好的。不然,大家都是***,也就没有***和网络安全的概念了。 很多朋友抱着学一门课程、读好一本书就可以掌握网络安全的知识和技能。不幸的是,网络安全技术决不是几本书、几个月就可以速成的。你需要参考大量的参考书。 另一方面,在学校接受的传统教育观念使我们习惯由老师来...
linux的centos 6.8 搭建cacti监控平台
运维Carl的博客
05-19 6475
Cacti 是用 php 语言实现的一个软件,它的主要功能是用 snmp 服 务获取数据,然后用 rrdtool 储存和更新数据,当用户需要查看数据的时候用 rrdtool 生成图表呈现给用户。因此, snmp 和 rrdtool 是cacti 的关键。Snmp 关系着数据的收集, rrdtool 关系着数据存储和图表的生成。 snmp 抓到数据不是存储在 mysql 中,而是存在 rrd...
什么是态势感知(Situational Awareness)
angaoqian2008的博客
11-20 3756
  想要了解态势感知具体是研究哪些内容,首先要做的当然是要去百度一下,百度百科上只给了一句话——“在大规模系统环境中,对能够引起系统态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。”下面,我就通过我的搜索和总结,简单梳理一下到底什么是态势感知(网络安全方向)。   所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网...
网络安全传输系统(2)-框架搭建
上善若水
06-26 997
框架搭建需要实现文件上传和下载等的基本功能 网络协议采用TCP协议,通过TCP协议传输文件打算采取如下的顺序(针对客户机而言): 1、先发送命令,1代表上传,2代表下载,3代表退出 2、发送文件名 3、发送文件长度 4、发送文件数据 因此对于上传文件客户机和服务器分别遵循如下顺序 客户机: 1、获取需要上传的文件名 2、打开文件 3、发送命令1 4、发送文件名 5、发...
金融项目经验之代码安全
s297165331的专栏
03-10 3117
金融项目开发,貌似我都写了一个系列了~有兴趣可以看看~虽然不是专业搞网安~但简单的还懂点~做开发一方面熟知的漏洞如xss或者csrf或者sql注入另一方面就是代码写法的安全性~代码写法上不安全就会导致某些问题~比如说id传值的问题~id=1,2,3这种样子~或者某些传参数的接口~有些就会出现问题~对于这种细粒度的权限问题~在代码里写逻辑~判断当前用户的操作~还有就是文件类~文件的读取最好是一个fil
网络安全曾凡平pdf
最新发布
01-04
网络安全曾凡平pdf是一本介绍网络安全的书籍,作者是曾凡平教授,他是一位专业的网络安全专家。书中详细介绍了网络安全的基本概念、网络威胁、安全防护技术等内容,对于想要了解网络安全知识的读者来说是一本很有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二蛋和他的大花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值