web site development security

最新推荐文章于 2022-11-22 15:26:59 发布
最新推荐文章于 2022-11-22 15:26:59 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: WEB 2.0 其他 PHP 文章标签: security web escaping autocomplete silverlight sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/totogogo/article/details/6907463
版权
其他 同时被 3 个专栏收录
41 篇文章 0 订阅
订阅专栏
PHP
28 篇文章 1 订阅
订阅专栏
WEB 2.0
18 篇文章 0 订阅
订阅专栏
web site security包含以下几个方面:

* XSS

Cross-site scripting (XSS) is a type of web application security risk that enables attackers to inject client-side script into Web pages.


solution
content filtering: HTML entity encoding, JavaScript escaping, CSS escaping, and URL (or percent) encoding
validating untrusted HTML input

http://anti-hacker.blogspot.com/2008/01/xsscross-site-script.html


* SQL injection

it input SQL statements in a web form to attack security.
for example....
solution:
1. Parameterized statements
parameterized statements can be used that work with parameters  instead of embedding user input in the statement.
2. Using object-relational mapping libraries avoids the need to write SQL code. The ORM library in effect will generate parameterized SQL statements from object-oriented code.
3. Escaping. escape characters that have a special meaning in SQL


* http header injection

* File path traversal
* XPath injection
* HTTP PUT enabled
* Cleartext submission of password
* XML injection
* Open redirection
* Cookie scoped to parent domain
* Cookie without HttpOnly flag set
* Password field with autocomplete enabled
* Referer-dependent response
* Cross-domain POST
* Cross-domain Referer leakage
* Cross-domain script include
* TRACE method is enabled
* Email addresses disclosed
* Private IP addresses disclosed
* Robots.txt file
* ASP.NET debugging enabled
* ASP.NET ViewState without MAC enabled
* Flash cross-domain policy
* Silverlight cross-domain policy




XSS, SQL Injection, HTTP Header Injection, DORK Report for April 2, 2011
http://xss.cx/examples/dork/favicon.ico/4.2.2011.favicon.ico.dork.report.html


PHP security
http://www.php.net/manual/en/security.intro.php

http://bbs.phpchina.com/thread-180424-1-1.html

* 关闭注册全局变量 

* set magic_quotes_gpc = on to protect sql injection

* set expose_php = Off to hide php version info in header 

* 关闭危险函数 set disable_functions

* php_self var



http://www.chhua.com/web-note1413
http://www.php5.idv.tw/html.php?mod=article&do=show&shid=69
http://www.php5.idv.tw/modules.php?mod=books&act=show&shid=2475




php_self的安全性
http://www.5idev.com/p-php_server_php_self.shtml
totogogo
关注
专栏目录
任意密码登录——密码找回漏洞
记录并分享学习安全的知识点..
04-15 1377
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保。 一、漏洞存在的点 密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字就可以重置密码,导致可以暴力破解。 密码找回凭证可从客户端直接获取。 密码找回凭证在页面中可以直接获取。 密码找回凭证存并非只是与单个用户并绑定的问题。 密码找回凭证存并非只是与单个用户并绑定的问题。 用户找回密码的邮箱地址或者手机号码被修改。 在最后提交修改的密码处的逻辑错误。 二、漏洞复现 (一)密码找回凭证存放在cookie中 1.点击.
Comprehensive Guide to Web Penetration Testing and Network Security
最新发布
weixin_65409651的博客
08-07 339
【代码】Comprehensive Guide to Web Penetration Testing and Network Security
简单自定义标签
Java方向程序员_张帅鹏
11-09 468
1、简单标签:SimpleTag doTag方法可以完成 输出、迭代、修改标签体内容等。 (1)setJspContext方法 将pageContext对象传递给标签处理器对象 (2)自动调用setParent  将父标签传递给标签体对象 (3)如果设置了属性,容器将调用每个属性对应的setter方法,把属性值传递给biaoqianchuliqiduixiang (4)invoke(ou
跨域之CORS
qq_45448359的博客
03-06 254
阅读本文,你需要首先知道: 浏览器的同源策略 跨域问题 JSONP原理 cookie原理 JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发出的请求只能是get请求 所以,CORS是一种更好的跨域解决方案。 概述 CORS是基于http1.1的一种跨域解决方案,它.
Burp Scanner Report
weixin_43304436的博客
12-20 796
1、使用application web 漏洞平台,除此之外还有一款类似的工具 叫做mulidata,其实mulidata功能更好一点。 2、配置之前的问题处理 安装之前要确认 自己之前是否安装过 Apache或者PHP解释器或者MySQL ,如果之前安装了单个版本的软件,需要卸载,或者检查是否运行,关闭也可以。 这里我做渗透测试使用的burp没使用如何破解 首先启动bur...
XSS(Cross-site Script,跨站脚本)漏洞笔记
qq_32812063的博客
11-22 1761
xss笔记
WebLogic Web Development
03-17
- **请问web service的安全性**:Web服务安全可能涉及认证、授权、加密、消息完整性等,可以使用WS-Security标准进行保护。 通过学习以上知识点,开发者能够全面理解WebLogic Web应用开发的各个方面,包括基础编程...
Drupal 8 Module Development 2nd Edition
04-04
Daniel Sipos is a senior web developer specializing in Drupal. He's been working with Drupal sites since version 6 and started out like many others, as a site builder. He's a self-taught programmer ...
TOP 25 Most Dangerous Programming Errors
xhinker's blog
01-22 2614
Experts Announce Agreement on the 25 Most Dangerous Programming Errors - And How to Fix ThemAgreement Will Change How Organizations Buy Software.Project Manager: Bob Martin, MITREQuestions: top2
http 请求中的 referer
一条有梦想的咸鱼
05-26 6704
浏览器在向 web 服务器发送一个 http 请求的时候,服务器会把 http 的请求包装成一个 request 对象,在这些请求里面就包括 referer,它的意思是要告诉服务器,该请求来自哪里。比如在一个网页里面插入一个超链接,链接到其他的网页,那么当点击这个超链接从而链接到另外一个页面的时候,相当于浏览器向 web 服务器发送了一个 http 请求,对于另外一个页面而言,这个 referer
OWASP_top_10漏洞的总结笔记
热门推荐
Mi1k7ea
04-11 2万+
这里简单地写一些关于OWASP top 10 漏洞的一些利用技巧以及检测方法、防御方法等的笔记(很多是参考了《Web漏洞讲解》),有新的理解和学会好的方法之后会更新~ 同时也希望各位大牛给给建议~ SQL Injection&Blind SQL Injection(SQL注入与SQL盲注漏洞): 一、绕过WAF的方法: 1. 大小写绕过 2. 简单编码绕过 3. 注释绕过: ...
总结一下顶级域名和子级域名之间的cookie共享和相互修改、删除
weixin_33756418的博客
09-18 1662
最近项目中刚好涉及到了主域名和子域名之间的共享和相互修改、删除,也就借此机会总结一下常用的几个场景,这里代码以PHP为例来说明,域名的话就拿顶级域名和二级域名为例,其他的场景都是类似哈! 设置COOKIE 顶级域名 顶级域名只能设置domain为顶级域名,不能设置为二级域名或者三级域名等等,否则cookie无法生成。 如yangbai.c...
Atlas开发中遇到ViewState MAC验证错误(在ASP.NET 2.0+GridView应用中)
e-Commerce Development Notes
03-31 5565
今天在调试Atlas时遇到错误:验证视图MAC失败。如果此引用程序由网络场或群集承载,请确保配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate发生错误的环境:ASP.NET 2.0,使用Atlas的UpdatePanel,在UpdatePanel中动态加载用户控件,以达到动态更新页面的效果。其中有一个用户控件中使用了GridView。当
你还在错误地用 EnableViewStateMac 解决群集服务器中的 MAC 失败?
千一网络
07-27 753
在网络场或群集中,或者在某些做了 CDN 加载的虚拟主机中,常常会出现 Cookie 提前过期、验证试图状态 MAC 失败这类的错误。有人给的解决方案是:web.config 里加 EnableEventValidation="false" EnableViewStateMac=
web-auth direct-site
07-08
对于"web-auth direct-site",可以理解为直接网站身份验证。这是一种在网站上进行身份验证的方法,而不是通过第三服务或平台。通过直接网站身份验证,用户可以在不离开网站的情况下进行登录或注册操作,提供更加流畅...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值