WEB安全小结

最新推荐文章于 2023-04-19 17:32:58 发布
最新推荐文章于 2023-04-19 17:32:58 发布
阅读量503 收藏
点赞数
分类专栏: web 填坑 WEB安全 文章标签: 服务器 csrf xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43312108/article/details/105102874
版权

前言

前一段时间接触了一下web安全的实训。。。(笑)。痛定思过,这里总结一下自己对于WEB安全的认识

目录

前言

目录

目前常见的安全性问题

1、SQL注入

1、原理

2、具体实现过程

2、xss攻击

3、csrf令牌攻击

4、DDos攻击

4、种类

5、CC攻击

6、钓鱼软件以及弱口令管理员密码(。。。)

7、外链盗用

8、删库跑路(极端情况、容灾能力)

目前常见的安全性问题

1、SQL注入

1、原理

<p>SQL注入基本原理是通过构建特殊的输入作为参数传入Web应用程序, web应用程序对用户输入数据的合法性没有判断或过滤不严 ,导致查询数据的sql语句错误,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 </p>

2、具体实现过程

拿沙盒系统举例,我们的登陆界面,如果已知某个用户名,那么通过sql注入代码成功进入到我们的后台。。。。。

但是是因为测试沙盒未开启magic_quote_gpc的扩展

注入代码

'or 1=1#; admin'#

如果

实际拼接的sql语句:

就变成了

Select * from user where username = '' or 1=1;# and password = '';

当然这种是极端情况

那么如果有开启相应的扩展,这边也有思路,就是通过数字的转化来实现注入侵入。

 

2、xss攻击

1、原理

因为浏览器在执行网页代码的时候,并不能理解或者说规避访问一些不正规的脚本,即恶意脚本,从而使得攻击者可以获取用户的Token或者用户个人信息等值,依此获取攻击的目的。常与csrf令牌攻击一起使用

2、具体类型

一般是按照脚本注入的形式划分,可以分为存储型、反射性以及DOM型。其中前两个是由后端进行规避的,通常使用特殊字符过滤等手段,而DOM型攻击则是由于前端页面的Javascript对于部分API接口调用引起的。

3、具体实现

存储型,一般是数据在从前台页面提交,存放到数据库的过程中,没有对其内容进行审核&#

最低0.47元/天 解锁文章
weixin_43312108
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全】---web网络安全总结
qq_53061847的博客
05-28 1万+
我们页面常见的web安全问题有: 一、保证我们的前端页面没有漏洞可循 xss跨站点脚本攻击: 不要新人任何用户的输入, 能跟用户产生交互的地方都需要对参数进行转译或者过滤 文件上传漏洞攻击: 校验文件格式, 后端限制存放文件路径的权限,限制运行脚本 SQL注入攻击: 对用户输入进行转译, 后端采用预编译的sql,不要直接使用前端参数 CSRF 跨站请求伪造 anti CSRF token: 原理是从后端拿过来的html文件会在session存储一个随机的验证信息, 每次请求都发送这个验证信息进行校
一文读懂 Web 安全
u011192674的博客
07-28 853
Web 安全是互联网中不可或缺的一个领域,这个领域中诞生了大量的黑帽子与白帽子,他们都是安全领域的王者,在平时里,他们利用各种巧妙的技术互相博弈,时不时就会掀起一场 Web 安全浪潮,真可谓神仙打架,各显神通。 本文从一个吃瓜群众的角度,聊一聊 Web 安全的一些有趣故事。 安全世界观 安全攻防案例 总结与思考 安全世界观 在互联网发展之初,IE 浏览器垄断的时期,大家上网的目的都很单纯,主要通过浏览器分享信息,获取新闻。但随着互联网的不断发展发展,一个网页能做的事情越来越多,除了看新闻,我们还可以看视
什么是Web安全?Web安全又分为哪几个部分?Web安全又该如何学习?
BlueSocks152的博客
04-19 1027
网络安全是一个非常庞大的体系,范围非常之大,被分为很多种类型,web安全就是其中之一,也是网络安全技术中非常重要的领域。那么web安全是什么?主要分为哪几部分?以下是详细的内容介绍。
WEB安全总结学习与心得(十六)——代码执行漏洞
weixin_44681434的博客
01-30 2554
WEB安全总结与心得(十四) 01 文件操作 操作内容 文件上传 上传Webshell;上传木马 文件下载 下载系统任意文件;下载程序代码 常见文件操作漏洞 文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 ...
一篇文章带你走进Web安全
qq_51191947的博客
07-14 2246
网络联盟团队2022年秋季招新 Web安全方向介绍
web安全总结文档.doc
11-29
web安全总结文档.doc
WEB安全总结分析
05-15
XSS跨站 SQL注入 文件操作 访问控制 伪造请求 Session管理 Web标准化 错误处理 逻辑问题 第三方软件安全
WEB安全知识总结.zip
12-27
WEB知识的快速入门知识,方便查阅知识点,常见WEB漏洞
web安全课程总结.png
08-03
网络安全攻防,学习方法,学习思路,学习场景
web安全测试总结
weixin_34218890的博客
05-06 497
安全测试视频:http://edu.51cto.com/course/5733.html常见问题: 1.XSS(CrossSite Script)跨站脚本***XSS(CrossSite Script)跨站脚本***。它指的是恶意***者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。测试方法: 在数据输入界面,添...
web安全性测试总结
11-28
sql注入:将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串 示例:在查询中输入字符串 ' or 1=1 --
Web安全实践实验
restart-llyang的博客
06-22 1725
Web安全实践实验 一、网站加密过程简介 CA(Certificate Authority) 加密 网站 步骤: 1.CA给浏览器厂商发公钥 2.阿里把公钥给CA,CA用自己的私钥加密阿里的公钥,返回给阿里 3.用户用浏览器访问阿里的网站,阿里把用CA的私钥加密过的自己的公钥给用户 4.用户用浏览器中的CA公钥解密阿里公钥,正确配对则信任访问的网站...
常见 Web 安全攻防总结[转]
The_Commitmentts的博客
11-19 1649
安全永远是产品的最基础需求 Web 安全的对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。 也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。 本...
Web安全基础总结
周游的世界
03-11 5152
Web安全基础总结   1.SQL注入(SQL Injection) 定义: 由于程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 原因分析:     其本质是对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。由于我们的部分WEB应用,采用Jsp+J
【转】谈谈对 Web 安全的理解
theScoreONE的博客
03-06 658
作为一个前端 er,掌握必要的网络安全知识是必要,下面我整理了几种常见的网络攻击方式及防御技巧,本文内容来自网络,仅供参考。 CSRF 攻击 CSRF(Cross-site request forgery), 中文名称:跨站请求伪造,也被称为:one click attack/session riding, 缩写为:CSRF/XSRF CSRF 可以简单理解为:攻击者盗用了你的身
Web安全小结
ailx10
04-03 590
最近准备花一点时间,重新梳理一下自己的技术栈,不能让以前做的实验,都搞忘记了,最近联合面试了几个AI安全交叉研究员,多领域开花这种模式确实很创新,让人眼前一亮,却发现一些CTF获奖的求职者,明明才过去不到2年,已经完全不记得自己做过什么,只留下简历上的曾获得某某信息安全夺旗比赛x等奖,作为一个普通人,交叉领域出成绩,确实是一件非常困难的事情,这时候终于能够感同身受了。手动SQL注入:错误注入、布尔...
web安全第一篇(上) 基本的认知
lsykysyyds的博客
04-30 1133
关于深入了解web安全之前,要有的基本认知
web实训总结___0319
NSQKYDSZWW的博客
04-09 3045
练习:导航栏 方法一:div实现 1. <!DOCTYPE html> 2. <html lang="en"> 3. <head> 4. <meta charset="UTF-8"> 5. <title>Title</title> 6. <style type="text/css"&g...
Web安全总结
sqjddb的博客
07-01 1011
SQL注入 跨站脚本攻击(XSS) 跨站请求伪造(CSRF) 文件包含漏洞 验证码技术 同源策略
Web安全渗透路线图详解
最新发布
05-05
Web安全渗透是指测试和评估Web应用程序的安全性,以查找和纠正缺陷和漏洞。下面是Web安全渗透路线图的详细步骤: 1.信息收集:使用开放源码情报,网络爬虫和漏洞扫描程序来搜集Web应用程序有关的所有可能的信息。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值