网易web白帽子

01.Web基础知识

web工作流程

浏览器,DNS,服务器,资源解析(文档,图像,视频)

02.WEB安全基础

常见安全问题

xss:跨站脚本,恶意脚本

<span class="name">{{name}}</span>
name='星辰<script>alert('SB')</script>'
<span class="name">星辰<script>alert('SB')</script></span>  #嵌入js代码

用户登录用的JS吧,读取资料用的JS吧,点击买东西、消费用的JS吧,查用户有多少钱用的JS吧,基于 Cookies 也可以读写吧。好的,你用JS能干的事情人家都能干。

 

csrf:跨站请求伪造,被转账,被垃圾评论

当一个用户登录我们的网站后,在 Cookies 中会存放用户的身份凭证。在大部分时候,就是一个 SessionId 。当用户下次访问我们的网站的时候,我们用这个凭证识别出用户是谁,有没有登录态。

<iframe name="test"></iframe>
<form target="test" method="post" action="http://www.toutou.com/haha">
    ...
</form>  #点击悄悄发送请求咯

  CSRF 之所以能够攻击成功,核心原因就在于用户的身份是放在 Cookies 中的,而不管你通过什么方式访问网站,都会带上这个网站的 Cookies ,从第三方来的访问自然也不能例外。

点击劫持:iframe标签,自己超链接

url跳转:引导进入诈骗网站

sql注入:获取用户请求,构造自己请求拼接,整个数据库数据

命令注入:

文件操作:上传下载,下载木马

 

 

03 WEB安全工具

代理工作原理:中介

工具:

04 WEB安全实战

 

05 WEB安全体系建设

 

发布了73 篇原创文章 · 获赞 69 · 访问量 12万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 编程工作室 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览