![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
读书笔记
文章平均质量分 91
Jonas9
Java程序猿
展开
-
白帽子讲Web安全——客户端安全
一.跨站脚本攻击(XSS)1.简介XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。2.类型XSS根据效果的不同可以分成如下几类。(1) 反射型XSS反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功。反射型XSS也叫做“非持久型XSS”(Non-persistent XSS)。(2) 存储型XSS存储型XSS会把用户输入的数据“存储”在服务器端。这种X原创 2021-07-27 21:43:53 · 625 阅读 · 0 评论 -
白帽子讲Web安全——服务端安全
一.注入攻击安全设计原则——“数据与代码分离”原则,它可以说是专门为了解决注入攻击而生的。注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件:第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。注入类型SQL注入XML注入代码注入CRLF注入:CRLF常被用做不同语义之间的分隔符。因此通过“注入CRLF字符”,就有可能改变原有的语义。攻击手段SQL注入攻击存储过程命令执行:利用“用户自定义函数”的技巧,即UDF(User-Defi原创 2021-07-25 11:35:24 · 862 阅读 · 1 评论 -
网络是怎样连接的——浏览器生成消息过程
一. 浏览器生成消息1. 生成 HTTP 请求消息1.1 URL 格式1.2 浏览器解析URL1.3 省略文件名的情况(a)http://www.lab.glasscom.com/dir/以/结尾代表/dir/后面本来应该有的文件名被省略了,没有文件名,服务器怎么知道要访问哪个文件呢?**其实,我们会在服务器上事先设置好文件名省略时要访问的默认文件名。**这个设置根据服务器不同而不同,大多数情况下是index.html或者default.htm之类的文件名。因此,像前面这样省略文件名时,服原创 2020-08-02 15:01:46 · 469 阅读 · 0 评论