Web安全—漏洞整体框架(持续更新)

最新推荐文章于 2023-12-10 04:00:00 发布
最新推荐文章于 2023-12-10 04:00:00 发布
阅读量457 收藏 1
点赞数
分类专栏: Web漏洞框架总览 文章标签: web安全 安全 前端 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44431280/article/details/121778375
版权

提要:此篇文章主要总结Web安全学习中需要学习的Web漏洞及掌握漏洞需要必备的基础知识,整体会作为后续学习的提纲。
Web漏洞分为两类:客户端和服务端漏洞。
客户端漏洞:
CSRF(跨站请求伪造):
SSRF:
XSS(跨站脚本攻击)
服务端漏洞:

SQL注入:

原理:前端提交的参数值是恶意SQL语句,后端未进行过滤,被代入后端SQL语句中查询,并在数据库中执行。前后端未对参数值进行限制。

目录遍历:

文件读取:
命令执行:
XXE安全:

文件上传

原理:文件上传位置对上传的文件类型未进行过滤或过滤不严。
文件包含
反序列化
代码执行
逻辑安全
未授权访问
综上所观:
Web安全中,服务端的漏洞还是占全部漏洞的绝大部分,所以整体需要学习以下知识:
前端:HTML基础,CSS基础,JAVASCRIPT(重要)
数据库:SQL语言基础(重要),ACCESS,MYSQL(常用),SQLSERVER,ORACLE等
中间件配置:IIS,Nginx,Tomcat等
脚本语言:PHP基础,Python基础等脚本语言
网络:HTTP协议(重要),TCP/IP等
操作系统:Linux和Windows常见配置
攻防工具:BurpSuite,SqlMap,Awvs等

the zl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《白帽子讲Web安全》12-Web框架安全
CD的博客
03-30 1007
总的来说,实施安全方案,要达到好的效果,必须要完成两个目标: - 安全方案正确、可靠 - 能够发现所有可能存在的安全问题,不出现遗漏12.1 MVC框架安全
Web 应用程序安全框架漏洞类别及防范
08-29
Web 应用程序安全框架的类别描述 Web 应用程序安全框架的类别描述
Web框架安全漏洞的测试反思
weixin_34297704的博客
10-18 229
此文已由作者王婷英授权网易云社区发布。欢迎访问网易云社区,了解更多网易技术产品运营经验。在平时的测试中,一般情况下,我们都是比较关注功能业务测试,以及对应的接口测试,很少去关注对应的业务设计上存在的安全漏洞测试分析。随着行业对安全的要求越来越高,同时我们电商是经常在网络上发生交易操作的网站,更是要关注安全测试相关的测试场景的考虑。之所以来编写这篇web的里的安全测试的文章,主要是在平时的测试过程中...
渗透漏洞框架
Htecne的专栏
04-01 673
渗透                           web                                                   社会工程学                        c段              溢出                      服务 sql注入     上传      包含     执行       xss组合
「第十二章」Web框架安全
hacckjacking
03-26 553
「第三篇」服务器端应用安全 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs 由于编写过程中无法记录所有的URL 所以如需原文,请自行查询 {……} 重点内容 *……* 表示先前提到的内容,不赘述 「第三篇」服务器端应用安全 「0.6本书结构」 就常见的服务器端应用安全问题.
web安全渗透框架梳理
m0_50967960的博客
07-17 522
web安全攻防要点 http协议 get 长度一般不超过1024kb post 长度无限制,但浏览器一般有个界限 get数据会在url明文现实,post数据不显示。但安全性实质上一致的,都是tcp连接
web programming security.zip_web编程安全
09-23
Web编程安全是一个至关重要的主题,尤其对于初学者来说,理解并掌握这些概念是构建安全、可靠的Web应用程序的基础。...在实际工作中,不断学习和实践,结合最新的安全研究和最佳实践,是持续提升Web安全水平的关键。
「工控安全」爱康集团信息安全建设 - 漏洞预警.zip
11-09
特别地,"struts"标签可能意味着他们关注Struts框架漏洞,这是一个常见的Web应用开发平台,历史上曾发生过严重的安全漏洞。 压缩包内的“爱康集团信息安全建设.pdf”文件可能详细阐述了上述概念在实际操作中的...
[安全教育]如何优雅的响应漏洞.zip
11-05
最后,“安全对抗”指的是与安全威胁进行持续的斗争,这包括了漏洞的发现、修补和预防。安全架构设计则是为这种对抗提供基础,通过合理架构设计,减少漏洞的出现,增强系统的整体防御能力。 总结来说,"如何优雅的...
「数据安全」网约车准入AI产品安全实践 - 漏洞分析.zip
11-27
为了防止SQL注入、跨站脚本攻击(XSS)等常见Web漏洞,开发团队应遵循OWASP(开放网络应用安全项目)的最佳实践,实施输入验证、输出编码等措施。 至于“解决方案”,我们可以考虑利用TensorFlow等机器学习框架的...
安全开发」浅谈企业安全防护体系中的渗透预警与追溯分析 - 数据治理.zip
11-27
在企业安全防护体系中,渗透预警与追溯分析是至关重要的组成部分。这些机制旨在帮助企业提前发现潜在的...同时,结合Web安全最佳实践和新兴技术,如Rust,以及持续关注安全热点,可以进一步增强企业的安全防护能力。
web开发安全框架中的Apache Shiro的应用
adnb34g的博客
09-05 949
前阶段就hadoop的分享了一些内容,希望对新手入门的朋友有点帮助吧!对于hadoop新手入门的,还是比较推荐大快搜索的DKHadoop发行版,三节点标准版还是值得拥有的(三节点的标准版是可以免费下载的,与付费版的目前功能一样,只是节点数量不同,对于新手而言三节点的够用了)。正在学习hadoop可以下载一下研究学习之用,也可以留言向我索要! 今天准备分享一下Apache Shiro 在web...
流行的 Web 框架安全性比较
allway2的博客
08-05 1872
Java Spring 是一个成熟的框架,具有许多针对常见安全问题的内置防御措施。实际 Rails 框架的一个明确的安全问题是它对用户会话的默认处理。事实上,大多数成熟的开发框架都有必要的部分来保护应用程序免受最常见的漏洞的影响。它为开发人员提供了出色的默认设置和强大的工具,以帮助防止最常见的漏洞。Spring Security 是高度可定制的,是许多企业应用程序的支柱。我提到的宝石是众所周知的,并且经过 OWASP 之类的审查,因此您不必太担心。Django 的一个令人担忧的问题当然是子域的会话管理。..
Web服务安全架构——一、Web应用程序基础理论
最新发布
钟言的博客
12-10 1万+
本篇为学习Web安全结构的第一篇,Web应用程序基础理论。详细内容包含了引言 Web应用程序的生成过程程序员是如何开发Web应用程序的1、Web程序的分层结构 2、各司其职的程序员 3、研究 Web 应用程序的利器 3.1 黑盒测试类工具 3.2 白盒测试类工具 四、小结等等。
集成安全框架,认证授权
zmw1502的博客
01-05 148
1、springsecurity:spring的安全框架 核心概念: a、principle是用户对象,指一切可以用于验证的设备。 b、authority是用户的角色。 c、permission:授权。 2、认证授权 安全主要分为验证和授权两部分。 springsecurity的验证步骤是: (1)用户名和密码。 (2)过滤器获得用户名、密码,然后封装成authentication。 (3)认证t...
Web漏洞—常见漏洞分类总览(持续更新
weixin_44431280的博客
02-05 2714
提要:旨在记录学习的过程,总结漏洞学体系,便于进行漏洞原理学习。 Web常见漏洞分类总览: 一:按照漏洞所属类型来区分: 1,客户端漏洞: XSS(跨站脚本攻击) CSRF(跨站请求伪造) XXE(XML外部实体注入) 2,服务端漏洞: SQL注入 文件上传漏洞 服务器请求伪造(SSRF) 反序列化 命令执行漏洞 文件包含漏洞 逻辑漏洞 越权漏洞 敏感信息泄露 按照漏洞特征类型区分: 1,注入类 SQL注入 XSS(跨站脚本攻击) XXE(XML外部实体注入) CSRF(跨站请求伪造) 2,文件操作类 3,
Web常见漏洞
m0_73720136的博客
04-13 264
web常见的一些漏洞以及原理,熟练掌握web漏洞原理对我们的学习很有帮助。一,信息泄露信息泄露是由于web服务器或应用程序没有正确处理一些特殊请求泄露web服务器的一些敏感信息,如用户名,密码,源代码,服务器信息配置信息等造成信息泄露主要三分原因:1,web服务器配置存在问题,导致一些系统文件或配置文件暴露在互联网中2,web服务器本身存在漏洞,在浏览器中输入一些特殊字符,可以访问未授权的文件或者动态脚本文件源码。
有效防入侵常见Web应用安全漏洞识别(转)
08-09 167
有效防入侵常见Web应用安全漏洞识别(转)[@more@]  在Internet大众化及Web技术飞速演变的今天,在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升,以及基子Web的攻击和破坏的增长,安全风险达到了...
web安全常见漏洞浅析
01-08
简单来说,Web安全漏洞是指在Web应用程序中存在的一些设计或编码上的不当之处,可能导致恶意攻击者利用这些漏洞Web应用程序进行攻击,进而窃取用户信息、破坏系统可用性等。在日常开发中,一些常见的Web安全漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值