web编码机制

最新推荐文章于 2024-05-21 23:53:50 发布
最新推荐文章于 2024-05-21 23:53:50 发布
阅读量678 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012684933/article/details/19696599
版权

1. url编码  url字符只能是0x20--0x73之间的字符,但是有的字符对http协议或者url机制有特殊的意义,所以需要编码,这些特殊字符时:

    %   %25

    =    %3d

    空格 %20

    新行 %0a

    空字节 %00

   &        %26

    ?       %3f

    ;       %3b

    #     %23

    另外需要注意的一个字符时+,它表示空格


2. unicode编码

    unicode编码以%u开头,后面跟该字符的16进制码点,如:

     %u2215代表/

    utf-8编码多字节字符以%为前缀,后面以16进制表示每个字节,如:

    %c2%a9代表  ©

  unicode编码主要用来绕过输入确认机制,当后台组件能够识别unicode编码的时候,通过各种标准与畸形的unicode编码,绕过过滤,达到攻击的目的


3.html编码

  html页面中有些字符时元字符,例如“<”等,但是html的页面内容中,有可能存在"<"字符,因此这些字符需要编码,典型的几个如下:

  "    &quot

    '            &apos

    &          &amp

    <          &lt

    >           &gt


    此外,任何字符都可以使用它的十进制ascii码进行编码,如:

    &#34代表"

    此外,任何字符都可以使用它的十六进制ascii码进行编码,如:

    &#2c代表"

    html编码主要用于探查xss漏洞,如果应用程序返回的输入字符未被正确编码,那很可能存在xss漏洞


4. base64编码

    base64编码是将字符串划分成各个3字节的块(24bit),然后每块划分成4部分(6bit, 64中组合),base64编码使用可打印的字符表示:

    ABCDEFGHIGKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

    如果字符串的最后部分不够3个字节,则用字符"="补齐,这个特点也可以作为识别base64编码的一条重要特征

    例如,abcd的base64编码是:YWJjZA==




    

heayin123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web基础:Token
不怕猫的耗子A
03-08 3万+
传统身份验证的方法: HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 C...
web安全前端编码规范1
08-04
Web安全前端编码规范详解》 在Web应用开发中,前端的安全性同样至关重要。本文将详细阐述《Web安全前端编码规范》,旨在提升Web应用的安全性,预防潜在的攻击风险。 一、项目设计阶段的安全考虑 在项目初始设计...
URL中%25E6%2588这样%25开头的字符是什么编码
xiayu98020214的专栏
08-24 1万+
http://www.cnblogs.com/jx270/p/4829589.html https://jingyan.baidu.com/article/6b182309ba6eaeba58e159cb.html
WEB页面常见安全问题
BWhite的博客
09-24 6260
1、DOS、DDOS攻击 DOS(Denial of Service),拒绝服务,造成远程服务器拒绝服务的行为,叫做DOS攻击。 DOS攻击的目的:使计算机或网络无法提供正常的服务。 常见的DOS攻击:计算机网络带宽攻击、连通性攻击。   DOS攻击的栗子:     首先说一下TCP握手:Client发送SYN连接请求报文,Server接受连接,回复ACK确认连接报文和SYN报文,并为...
Java Web中文编码问题
Tyshawn的博客
12-29 1595
为什么要编码? 在计算机中存储信息的最小单元是1个字节,即8个bit,所以能表示的字符范围是0~255个。 人类要表示的符号太多,无法用1个字节来完全表示。 解决这个矛盾必须要有一个新的数据结构char,而从char到byte必须编码。 常见的编码格式 ASCII码 总共128个,用1个字节的低七位表示,0~31是控制字符如换行、回车、删除等,32~126是打印字符,可以通过键盘输入并且能够显示出
渗透技巧不定期更新
cnbird's blog
10-18 1047
1. 目录遍历漏洞绕过   1.1URL编码   .   %2e    /  %2f    /  %5c   1.2 16位的unicode   .   %u002e   /   %u2215   /   %u2216   1.3 双解码   .   %252e   /   %252f   /   %255c   1.4 超长的UTF-8 uni
Web 编码
dqd66的博客
10-17 1187
URL只允许使用US-ASCII字符集中的可打印字符,因此如果许哟啊通过HTTP传输非URL中运行出现的字符需要进行URL编码。例如:< 对应16进制 3c 转换位16进制为Unicode 格式编码为 %u003c -----> Xss等安全漏洞。base64识别方式 如果在字符串后面出现了 = 号,可以轻易辨认(当不足base64编码的要求是可以追加 =号)注意:在进行web安全测试过程中 如果需要讲一下字符当作数据插入到HTTP请求中 务必使用URL编码。空格, % , & , = ,;
【安全】web中的常见编码&浅析浏览器解析机制
故余虽愚,卒获有所闻
07-25 2071
常见编码及其介绍以及在实例中理解
Cookie和Web缓存机制
u010046318的博客
05-28 1万+
本周阅读了JS高程的缓存机制部分,对于Cookie和Web缓存机制有了更深的了解,今年二三月份参加实习生电面多次被问到Cookie以及LocalStorage、SessionStorage的区别,当时对于每一部分都有个大致的了解,且没有实际运用,所以趁这次机会,也动手实现了一把,写下这篇博客以整理思路。缓存机制对于用户访问网页来说是很方便的。如果将用户名,偏好设定或者其他一些数据存储到客户端,而不必
基于Token的WEB后台认证机制
热门推荐
Larry的博客
08-10 4万+
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时
Python Django 5 Web应用开发实战
最新发布
weixin_43178406的博客
05-21 2万+
本文主要介绍了Python Django 5 Web应用开发实战,希望能对学习Python Web应用开发的同学们有所帮助。 文章目录 1. 前言 2. 书籍推荐 2.1 内容简介 2.2 本书作者 2.3 本书目录 2.4 适合读者 3. 购买链接
安全开发之Java Web安全编码.pdf
01-07
### 安全开发之Java Web安全编码 #### 一、Web应用安全威胁 在现代互联网环境中,Web应用程序作为企业对外展示的重要窗口,面临着各种各样的安全威胁。这些威胁不仅包括了传统的技术层面的问题,还涉及到了更为...
WEB前端编码规范
10-27
### WEB前端编码规范知识点详解 #### 一、规范目的 - **概述**:为了提高团队协作效率,并确保前端代码质量,便于后期维护和扩展,制定了这套前端编码规范。该规范适用于公司内所有前端开发人员,旨在提升代码的...
WEB前端编码规范WEB前端编码规范WEB前端编码规范
08-18
WEB前端编码规范是确保开发团队在进行网页及应用开发时保持一致性和可维护性的关键指导文档。这份规范由中兴通讯股份有限公司制定,旨在提升代码质量、增强跨浏览器兼容性,以及实现WEB前端的结构、样式与行为的分离...
Java的编码机制,处理中文乱码必读材料
11-04
总的来说,理解和掌握Java的编码机制,以及与之相关的字符编码标准,是解决Java应用中中文乱码问题的基础。在开发过程中,需要关注源代码、JVM、操作系统、数据库等各个环节的编码设置,确保它们之间的协调一致性,...
使用浏览器进行xss测试的时候需要关闭浏览器的xss filter
u012684933的专栏
03-23 1万+
chrome的关闭方法: 我的chrome安装目录在C:\Program Files (x86)\Google\Chrome\Application\chrome.exe,关闭方法是在命令行输入以下命令: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-xss-auditor
关于sqlmap的异常退出
u012684933的专栏
04-04 8092
[22:56:31] [WARNING] HTTP error codes detected during run: 500 (Internal Server Error) - 24 times
sql注入绕开过滤的常用方法
u012684933的专栏
03-05 7821
1. 使用注释,例如:     SELECT/*foo*/username,password/*foo*/FROM/*foo*/users     在mysql中甚至可以在关键字中间插入注释,例如SEL/*foo*/ECT username,password FR/*foo*/OM users 2. 避免使用关键词,例如:  select ename, sal from emp w
xampp连接mysql命令行的办法
u012684933的专栏
06-21 7314
1. 打开xampp控制面板左边的shell
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值