一.web安全的关键点

最新推荐文章于 2023-05-18 11:05:59 发布
最新推荐文章于 2023-05-18 11:05:59 发布
阅读量281 收藏
点赞数
分类专栏: web安全 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33768153/article/details/53887988
版权

1.数据指令
用浏览器打开一个网站,呈现的都是数据。服务端(数据库、内存、文件系统);客户端存储(cookies、flash cookies);传输中(JSON数据、XML数据);文本数据(HTML、JavaScript、CSS);多媒体数据(MP3,flash、video);图片数据..等等

常见的攻击场景
1.SQL 注入攻击
2.XSS跨站脚本攻击

2.浏览器的同源策略
计算机的本地于web是不同的层面,web世界(通常称为Internet域),运行在浏览器上,而被限制了直接进行本地数据(通常称为本地域)的读写。
同源策略规定:不同域的客户端脚本在没有明确的授权的情况下,本能读写对方的资源。

1.不同域或者同域
同域要求两个站点同协议、同域名、同端口。
2.客户端脚本
客户端脚本主要指JavaScript、ActionScript(flash 的脚本语言);
3.授权
4.读写权限
web上有资源有很多,有的只有读取权限,有的同时具有读和写的权限;同源策略里的资源主要是指web客户端的资源。包括(http消息头、整个document树、浏览器存储);客户端的安全威胁都是围绕这些资源进行的。

3.信任与信任关系
安全的攻防都是围绕着信任进行的。信任导致建立了一种信任关系,很多黑客的攻防都是围绕这种信任关系进行的。

4.攻防不单一
一次完整的渗透,会用到各种攻击手法。
5.其他可能会被攻击的场景

Corner1990
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全知识点
PatrickStar131的博客
11-10 3904
SQL注入: 原理: 指web应用程序对用户输入的数据合法性没有判断,导致攻击者可以构造不同的sql语句来对数据库数据库的操作。(web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把sql语句带进数据库中进行查询)。 Sql注入漏洞的产生需要满足两个条件: ①参数用户可控:前端传给后端的参数内容是用户可以控制的。 ②参数代入数据库查询:传入的参数拼接到sql语句,且带入数据库查询。 危害 ①数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。 ②网页篡改:通过操作数据库对...
web安全攻防渗透测试实战指南
jhf223344的博客
04-05 8949
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
web安全关键点
Naive_boy00的博客
10-15 450
客户端脚本安全与浏览器特性息息相关。浏览器以同源策略为基础,只有加深对同源策略的理解才能抓住浏览器安全的本质。数据与指令数据有哪些浏览器打开的网站是数据的显示,其中有: 服务端存储的(如:数据库、内存、文件系统等) 客户端存储的(如:本地Cookies,Flash Cookies等) 传输中的(如:JSON数据、XML数据等) 文本数据(如:HTML、JavaScript、CSS等) 多媒体数据(如
网络安全实验——web安全
最新发布
weixin_58628068的博客
05-18 3289
XSS(Cross-Site Scripting)是一种常见的Web应用程序漏洞,攻击者可以通过注入恶意脚本来获取用户的敏感信息或者控制用户的账户。攻击者可以通过在输入框、URL参数等地方注入恶意脚本来实现XSS攻击。为了防止XSS攻击,应该对用户提交的数据进行过滤和转义,避免将用户输入的内容作为HTML或JavaScript代码直接输出到页面上。在盗取rookie(一个虚拟人物)的实验中,攻击者通过在评论中注入恶意脚本,来实现对rookie账户的控制。
web安全测试--基础篇
qq_64444051的博客
07-02 7858
web安全测试概念及常用工具
Web安全基本概念
weixin_43994244的博客
03-04 7241
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
web安全详解(渗透测试基础)
热门推荐
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是Cookie,Cookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
Web安全 信息收集 (收集 Web服务器 的重要信息.)
网络安全领域___专研者.
04-09 9109
“信息收集” 会对渗透测试工程师和网络安全工程师具有重大作用:可以帮助工程师们知道主机的存活的主机,主机的系统辨识,服务枚举等。这样工程师就可以执行下一次的工作,比如:对服务器系统进行渗透测试,然后再做出一定的防御。 收集的信息有:目标的真实IP地址,服务器的敏感目录,网站的搭建环境,网站使用的系统,网站防火墙,常用端口信息,目录网站是用什么脚本写得等信息.
常见六大Web安全问题
letianxf的博客
11-26 7311
一、 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS(因为缩写和 CSS重叠,所以只能叫 XSS),是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 原理 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私
web安全测试用例(网络资源笔记)
天在等我,菜鸟想飞
12-30 5834
信息泄漏 robots.txt泄漏敏感信息 **漏洞描述:**搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。 测试方法: 检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到robots文件; 手工挖掘,直接在域名后输
WEB安全入门基础.pptx
08-24
HTTP 协议是 WEB 安全的基础协议,了解 HTTP 协议是 WEB 安全的关键。HTTP 协议主要包括请求行、状态行、响应头部、响应正文等部分。请求行包括请求方式、请求资源、协议与版本等信息。状态行包括协议与版本、状态码...
Web安全测试全解.zip
03-12
【描述】"Web安全测试全解.png"可能是一张图片,提供了Web安全测试的整体框架或者关键概念的可视化展示。这张图片可能包括了测试流程、常用工具、常见的安全威胁以及应对策略等内容。 【标签】"Web安全测试全解"和...
web安全--project.zip
02-19
下面我们将深入探讨Web安全的多个关键知识点。 1. **跨站脚本攻击(XSS)**:XSS攻击是通过在Web页面中注入恶意脚本来实现的,这些脚本可以在用户浏览器中执行,从而获取敏感信息,如Cookie和会话令牌。预防XSS攻击的...
web安全-网络安全.pdf
01-03
根据提供的文件信息,“web安全-网络安全.pdf”似乎是一份涵盖了广泛网络安全知识的资料。下面将对这份资料可能涉及的关键知识点进行详细的阐述。 ### Web安全基础知识 #### 1. Web安全概述 - **定义**:Web安全是...
Java.Web Java.Web
06-24
根据提供的标题、描述和标签“Java.Web”,...综上所述,Java Web开发涉及到许多关键技术点和实践技巧。通过对这些知识点的学习和掌握,开发者可以更好地理解和运用Java Web技术,构建出高效、稳定、安全Web应用。
无头浏览器
我是渣渣
07-24 1万+
前言: 无头浏览器(Headless browser)指没有用户图形界面的(GUI)的浏览器,目前广泛运用于web爬虫和自动化测试中。随着反爬虫和反反爬虫对抗技术的升级,越来越多的爬虫开始使用无头浏览器伪装成正常用户绕过反爬虫策略。 我们如何区分这些无头浏览器和正常浏览器?从Server Side分析用户行为进行检测是一劳永逸的方法,但成本和难度都很大。 不过通...
PhantomJS的使用
我是渣渣
07-24 3301
简介 phantomjs 简单来说是一个基于 WebKit 的“无头浏览器”环境。对“无头”,你可以理解成没有一个前端的 GUI 界面,所有的东西都在后台运行。 phantomjs 在“无头”界的名声,是源于从 WebKit 里得到的对 DOM / JS 的完整支持。 一个纯后台的,完整功能的浏览器,这东西就有很多可以想像的空间了 —— 抓取,测试等。 安装 下载phantomjs...
三.CSRF
我是渣渣
12-28 543
CSRF的全称是 Cross Site Request Forgery,即跨站请求伪造。 CSRF最关键的两点:跨站点的请求和请求是伪造的 一. CSRF类型按照请求:get类型与post类型 按照攻击方式:HTML CSRF攻击,JSON HiJacking攻击,Flash CSRF攻击 二.HTML SCRF攻击 发起CSEF请求都属于HTML发出的,被称为HTML SCRF
二.前端安全之XSS
我是渣渣
12-27 370
概述全称为Cross Site Scriptiong,即跨站脚本。发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程会出现不被预期的脚本指令并执行时,XSS就会发生。 目标网站的目标用户:强调了场景 浏览器:因为这类攻击都是有浏览器来解释执行的。浏览器会严格执行共同的约定,同源策略,不符合的约定的就不会执行。 不被预期的:就是很可能是攻击者在输入时提交了可
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值