WEB应用安全总结
windseraph2
毕业于USC网络安全专业,目前专注企业安全管理
展开
-
web应用安全之注入型隐患和输入处理总结
注入型隐患 通过插入引号或分隔符等用于表示“数据部分边界”的字符,从而改变文本的结构。 隐患名接口恶意手段数据部分边界跨站脚本HTML注入JavaScriptHTTP消息头注入HTTP注入HTTP响应消息头换行符SQL注入SQL注入SQL命令‘等OS命令注入原创 2017-02-19 20:01:53 · 581 阅读 · 0 评论 -
web应用安全之HTTP与会话管理总结
HTTP 状态码 状态码:200(成功)301,301(重定向)404(找不到资源)500(服务器错误) Referer Referer头信息告诉我们请求是从那个页面链接过来的,是URL。但是Referer头信息可能成为问题之源。Referer头信息可以有访问者本人通过Fiddler之类的工具修改,所以未必会显示正确的连接。 比如URL中包含的会话ID通过R原创 2017-02-18 14:34:21 · 1717 阅读 · 0 评论 -
web应用安全之XSS基础
XSS概要 在WEB应用的网页中,有些部分的显示内容会依据外界输入值而发生变化,而如果生成这些的HTML程序中存在问题,就会滋生名为(Cross-Site Scripting)的安全隐患。 风险: 1.用户浏览器中运行攻击者的恶意脚本从而导致Cookie信息被窃取,用户身份被冒名顶替。 2.攻击者能获得用户的权限来恶意使用Web应用的功能。 3.向用户显示伪造原创 2017-04-10 13:29:50 · 652 阅读 · 0 评论 -
Web应用安全之XSS高阶
HTML转义概要位置说明转义概要元素内容(普通文本)能解释Tag和字符实体。结束边界字符为““属性值能解释字符实体。结束边界字符为双引号属性值用双括号括起来,“属性值(URL)同上检验URL格式正确后按照属性值的规则转义事件绑定函数同上转义JavaScript后按照属性值的规则转义原创 2017-04-12 15:13:37 · 525 阅读 · 0 评论 -
Web应用安全之CSRF
关键处理 Web应用中,用户登陆后执行操作中,有一些一旦完成就无法撤销,如信用卡支付,修改密码,发送邮件等,这些被称为“关键处理”。 关键处理中如果存在安全隐患,就会产生名为Cross-Site Request Forgeries简称CSRF的漏洞。原创 2017-04-14 15:03:54 · 401 阅读 · 0 评论 -
Web应用安全之发送邮件
问题概要1.邮件头注入2.使用hidden参数保存收件人信息3.邮件服务器的开放转发邮件头注入指通过邮件消息中的收件人或标题等字段中插入换行符,从而添加新的邮件头字段或篡改邮件正文的攻击手段。影响如下:1.标题,发件人,或正文倍被更改2.被用来发送垃圾邮件3.被用来发送病毒邮件防范方法:1.邮件头仲不允许包含外界传入的参数2.原创 2017-05-13 17:08:54 · 584 阅读 · 0 评论 -
Web应用安全之OS命令安全隐患
概要Web应用开发使用的编程语言大多提供了通过Shell调用OS命令的功能,如果调用方法不当,就可能导致意料之外的OS命令被执行。称为OS命令注入。典型攻击流程1.从外部下载专门用来攻击软件。2.对下载的软件授予执行权限。3.从内部攻击OS漏洞以取得管理员权限(Local Exploit)4.攻击者在服务器上为所欲为。可进行的恶意行为1.浏览、篡改或删除Web服务器原创 2017-05-18 20:07:14 · 424 阅读 · 0 评论