安全
sweep_monk
IT男
展开
-
XXE攻击
XXE注入攻击: 一、概念:XML External Entity(XXE)即XML外部实体攻击;造成服务器上敏感数据泄露(任意文件读取)、执行系统命令、潜在的DOS攻击、探测内网端口等; 1、什么是XML: XML用于标记电子文件使其具有结构性的标记语言;它被设计用来传输和存储数据,XML使用元素和属性来描述数据,在数据传送过程中,XML始终保留了诸如父/子关系这样的数据结构,不同应用程序可以共享和解析同一个XML文件; 2、XML格式: 它可以用来标记数据、定义数据...原创 2020-07-23 16:40:34 · 2490 阅读 · 0 评论 -
HTTPS协议总结
HTTPS协议总结: 一、概念:是由 HTTP 加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、对称加密、非对称加密等技术完成互联网数据传输加密; 二、设计目标: 1、身份认证:客户端和服务器在传输数据之前,会通过基于X.509证书对双方进行身份认证,确认公钥是否由自己信任的证书签发机构签发;防止中间人攻击; 2、数据保密性:客户端生成随机的字符串,通过协商好的非对称加密算法,使用服务端的公钥对该字符串进行加密,发送给服务端;服务端接收到之后,使用自己的私钥解密得到原创 2020-08-27 10:10:31 · 486 阅读 · 0 评论 -
CSRF攻击
CSRF攻击:(Cross-Site Request Forgery,跨站请求伪造) 1、原理:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作;CSRF 利用的是网站对用户网页浏览器的身份信任; 2、条件: 1)用户已经登录了站点 A,并在本地记录了 cookie; 2)在用户没有登出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A); ...转载 2020-07-23 16:41:03 · 177 阅读 · 0 评论 -
XSS攻击
XSS攻击 Cross Site Script(跨站脚本),为了和样式表区分缩写为XSS。 一、原理:攻击者通过巧妙的方法注入恶意脚本代码到网页中,使用户访问页面时,执行了恶意脚本,从而盗取session、cookie,重定向用户等其他攻击; 二、类型: 1、反射性(非持久型):需要诱使用户“点击”一个恶意URL链接; 特征: 1)即时性,不经过服务器存储,直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击,拿到用户隐私数据; 2)攻击者需要诱骗点击,必须要通过...转载 2020-07-23 16:40:48 · 903 阅读 · 0 评论