web安全

最新推荐文章于 2024-08-16 12:00:00 发布
最新推荐文章于 2024-08-16 12:00:00 发布
阅读量153 收藏
点赞数
分类专栏: javaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36894745/article/details/102894118
版权
web安全那些事
  1. XSS
  2. SQL注入
  3. CSRF

XSS【跨站脚本攻击】

介绍:允许攻击者将恶意代码植入到提供给其他用户使用的页面中。不同于大多数攻击(只涉及攻击者和受害者),XSS涉及三方(攻击者、客户端、web应用)。XSS的攻击目标是为了盗取存储在客户端的cookie或者用于识别客户端身份的敏感信息。一旦获取到合法的信息后,攻击者甚至可以假冒合法用户与网站进行交互。
分类:

  1. 存储型XSS,主要出现在让用户输入数据,如留言、评论、博客等。应用程序从数据库中查询数据,在页面显示出来,攻击者在相关页面输入恶意的脚本数据。用户浏览此类页面时可能就会收到攻击。
    流程:恶意用户的html输入web应用程序——进入数据库——web程序——用户浏览器
  2. 反射型XSS,主要做法是将脚本代码加入到URL地址请求参数里,请求参数进入程序后在页面直接输出,用户点击类似的恶意连接流就可能收到攻击。如

预防:【不相信用户的任何输入、过滤掉输入中的所有特殊字符】

  1. 过滤特殊字符【将用户所提供给的内容进行过滤,如script标签】
  2. 使用HTTP头指定类型,让浏览器解析javascript代码,而不会是html输出
w.Header().Set("Content-Type","text/javascript")

3.有httponly标记的cookie,只应该发送给服务端,不能通过document.cookie访问

SQL注入

介绍:攻击者向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致查询逻辑修改。
举例:QR ‘1’ = ‘1’
本来查询的是 SELECT * FROM user WHERE username=’’ and password = ‘’,经过拼接后1=1是成立,自然就跳过验证了。
严重的输入;DROP TABLE user;–
相当于执行SELECT * FROM user WHERE username=‘admin’ and password=’’;drop table user;–’ 删除啊整张表
预防:

  1. 使用预编译语句,即便使用SQL伪造参数,到服务端的时候,也只是简单的字符串
  2. 对进入数据库的特殊字符(< * &)进行转义处理,或者编码转换
  3. 应用发布之前使用专业的SQL注入工具进行检测,及时修补被发现的SQL注入漏洞
  4. 避免网站打印出SQL错误信息,比如类型错误、字段不匹配等,把代码里的SQL语句暴漏出来

CSRF 【跨站请求伪造】

介绍:攻击者盗用身份,用你的名义发送恶意请求。比如以你的名义发送邮件、发送信息、盗取账号。甚至购买商品。。导致个人隐私暴漏以及财产安全。
产生过程:

  1. 登录受信任网站A,并在本地生成cookie
  2. 在不登出A的情况下,访问危险网站B
    预防:
  3. 表单里隐藏随机的token提交到后台验证,B网站拿不到A表单里的随机token
  4. Hash加密cookie中csrf_token值
  5. 给cookie设置SameSite,则cookie允许服务器要求cookie在跨站请求时不会被发送,从而可以阻止CSRF
无语听梧桐
关注
专栏目录
Web安全攻防:渗透测试实战指南 (徐焱)
08-24
Web安全攻防:渗透测试实战指南 (徐焱)
软件测试中WEB安全性测试
03-23
WEB软件测试中WEB安全性测试由于web应用于用户直接相关,又通常需要承受长时间的大量操作,因此web项目的功能和性能都必须经过可靠的验证。这就要经过web项目的全面测试。一个完整的WEB安全体系测试可以从部署与基础...
WEB安全(占坑)
xiaozhuo_tang的博客
10-22 241
占坑
Web安全基本概念
weixin_43994244的博客
03-04 7315
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
常用Web安全工具
tiantian1980的专栏
08-04 1558
nmap是一个免费开放的网络扫描和嗅探的工具包,也叫网络映射器.nmap强大之处在于简单.易用. 看一下nmap的基本功能探测一组主机是否在线扫描主机端口,嗅探所提供的网络服务.推断出主机所用的操作系统丰富的脚本功能Burp Suite是一款被网络安全专业人员广泛使用的安全工具,用于进行网站应用的安全测试。它由 PortSwigger 公司开发,提供免费和付费版本。Burp Suite 可以帮助发现网站应用中的漏洞,例如跨站脚本攻击 (XSS)、SQL 注入等。
Web安全之认证机制
java后端开发的博客,不仅仅是后端开发
07-13 2390
“认证”是很容易理解的一种安全手段,常见的认证方式就是用户名和密码。那么“认证”和“授权”是一回事吗?
Web安全基础
weixin_50906078的博客
04-16 3803
一、HTTP协议 1、HTTP 什么是HTTP? 超文本传输协议,HTTP是基于B/S架构进行通信的,而HTTP的服务器端实现程序有httpd、nginx等,其客户端的实现程序主要 是Web浏览器,例如Firefox、InternetExplorer、Google chrome、Safari、Opera等 HTTP是基于客户/服务器模式,且面向连接的。典型的HTTP事务处理有如下的过程 (1)客户与服务器建立连接; (2)客户向服务器提出请求; (3)服务器接受请求,并根据请求返回相应的文件作为应答; (4
web安全基础
lixbao的博客
04-15 4111
HTTP原理 1、HTTP协议解析 Hyper Text Transfer Protocol(超文本传输协议)是万维网协会(World Wide Web Consortium)和Internet工作小组IETF(Internet Engineering Task Force)合作的结果,(他们)最终发布了一系列的RFC RFC 1945 HTTP/1.0 RFC 2616 HTTP 1.1 HTTP工作流程 首先客户机与服务器需要建立连接。单击某个超级链接,经过TCP三次握手后,HTTP的工作开始。
web安全主要包括哪些方面的安全
最新发布
ZL_1618的博客
08-16 1493
web安全主要包括哪些方面的安全web安全主要分为保护服务器及其数据的安全、保护服务器和用户之间传递的信息的安全、保护web应用客户端及其环境安全这三个方面。web安全介绍Web应用安全问题本质上源于软件质量问题。但Web应用相较传统的软件,具有其独特性。Web应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的复杂交互场景,而往往很多开发者没有很好地理解业务流程;
【学习笔记】《Web安全深度剖析》整理
小张同学的博客
01-03 6465
参考书:《Web安全深度剖析》 1.1 服务器如何被入侵? 渗透条件:与服务器通过端口正常通信。 web应用程序(客户端,一般为浏览器)默认运行在80端口上。 渗透服务器,一般有三种手段: C段渗透:渗透同一网段的主机对目标主机进行ARP等渗透。 社会工程学: 服务:直接针对服务进行溢出。 随着Web2.0时代到来,互联网从C/S(客户端/服务器)架构变为B/S(浏览器/服务器)架构。Web请求基于HTTP协议。 2.1 HTTP协议解析 2.1. 1 发起HTTP请求 输入URL,就发起了HTT.
Web安全技术期末考查-vulhub靶场搭建及漏洞复现
weixin_52363821的博客
05-27 2562
vulhub靶场搭建及漏洞复现。搭建弱点环境,详细的漏洞验证过程,修复、防御方法。
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
WEB安全深度剖析.pdf
07-05
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
白帽子讲Web安全(纪念版 (带书签高清文字版)
05-05
白帽子讲Web安全(纪念版 (带书签高清文字版)
document.cookie无法获取到cookie
前端踩坑之路
07-29 7228
背景 在前后端联调的时候,后端需要在入参中传入 cookie。于是想通过 document.cookie 来获取,但是发现浏览器有 cookie 但是无法获取到。 场景复现 打开谷歌调试工具,可以看到浏览器中是有记录 cookie 的; 在控制台执行 documen.cookie 发现获取不到 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Qrm2NS3T-1627532987813)(https://raw.githubusercontent.com/AprilTong/
js获取图片和视频的宽高等
前端踩坑之路
05-15 3128
获取图片和视频的宽高 日常开发中,在提交给后端视频和图片等文件之前,需要控制文件的的宽高,大小等。 图片 // 上传文件的方法 uploadFile(e) { let that = this // 该file中可以获取到文件名,大小等信息 let file = e.target.files[0] let img = new Image() let reader = new Fi
拖动鼠标更改 DIV 高度
前端踩坑之路
07-05 2088
背景 如图所示,实现拖动更改高度。 实现 添加一条线,用来控制拖动,鼠标拖动时,计算拖动距离更改 div 的高度。主要是通过 mousedown、mousemove、mouseup 等鼠标事件来实现。 <div id="drag-box"> <div class="data-list" id="drag-top"></div> <!-- 辅助线(用于调整文本框高度) --> <div id="resize" class="res
Javascript 获取数组中最大和最小值
前端踩坑之路
02-07 1293
排序法 将数组进行排序,按照从小到大的顺序来排,排序之后的数组中的第一个元素就是我们想要的最小值,最后一个元素为最大值。 let arr = [12, 33, 8, 54, 36] // sort方法会改变原数组 arr.sort(function(a, b) { return a - b }) // 最小值 let min = arr[0] // 最大值 let max = arr[arr.length - 1] 假设法 假设数组中的第一个元素是最大值,然后拿这个最大值和后面的项逐一比较,如果
Web安全实践:工具篇
"Web安全实践完整版 - 书籍精华,涵盖Web安全实践方法和代码,适合论文和课题研究参考" 本文将深入探讨Web安全实践,介绍一些基础的工具和技术,帮助理解和提升在Web安全领域的实践能力。Web安全是网络安全的重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值