![](https://img-blog.csdnimg.cn/20201014180756913.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全学习
文章平均质量分 87
枫裳
天天向上
展开
-
http协议基础
http协议定义了浏览器(即万维网客户程序)怎样向万维网服务器请求万维网文档以及服务器怎样把文档传送给服务器。从层次的角度上看,http是面向事务的应用层协议。 1. http报文的传送 http使用了面向连接的tcp作为运输层协议,保证了数据的可靠传输。http不比考虑数据在传输过程中被丢弃后又怎样重传。 http协议本身是无连接的,指的是虽然http使用了tcp连接,但通信双方在交换http报...原创 2018-11-18 11:10:08 · 354 阅读 · 0 评论 -
Web安全漏洞——sql注入
1.原理 注入攻击的本质,是把用户输入的数据当成代码执行。两个关键条件:一是用户能够控制输入;二是原本程序要执行的代码,拼接了用户输入的数据。当攻击者发送的sql语句被sql解释器执行,通过执行这些恶意语句欺骗数据库执行,导致数据库信息泄露。 2.分类 按注入点的参数类型:数字型、字符型 当注入点的参数为整数时,如id、num、page等,这种形式为数字型注入漏洞 当注入点的参数为字符串时,则为...原创 2018-11-18 12:10:32 · 396 阅读 · 0 评论 -
Web安全漏洞——XSS攻击
1.原理 Xss(跨站脚本攻击),英文名“Cross Site Sripting”,在一开始,这种攻击的案列是跨域(同源策略)的,所以叫做“跨站脚本”,但是今天,由于js的强大功能以及网站前端的复杂性,是否跨域已经不再重要。Xss也是注入攻击,即本质是把用户输入的数据当成代码执行。当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(html、js)到网页中时,如果用户访问了带有恶意代码的页...原创 2018-11-20 10:09:40 · 369 阅读 · 0 评论 -
Web安全漏洞——csrf攻击
1.原理 CSRF(Cross Site Request Forgery),即跨站点请求伪造。CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发...原创 2018-11-20 10:45:47 · 585 阅读 · 0 评论 -
Web安全漏洞——文件上传(fileupload)
1.原理 文件上传漏洞是指用户上传了一个可执行脚本文件,并通过此文件获得了执行服务器端命令的能力。要完成这个攻击,要满足一下几个条件: 上传的文件能够被Web容器解释执行,所以文件上传后所在的目录要是Web容器所覆盖到的路径。 用户能够从Web上访问这个文件。 用户上传的文件如果被安全检查、格式化、图片压缩等功能改变了内容,则可能导致攻击不成功 文件包含漏洞(file include)(有次面...原创 2018-11-20 12:23:56 · 2217 阅读 · 0 评论