黑客攻防技术宝典-web实战篇
黑客攻防技术宝典-web实战篇总结
谁抢了我的昵称:“www”
这个作者很懒,什么都没留下…
展开
-
黑客攻防技术宝典-Web实战篇——第四章、解析应用程序(枚举内容与功能)
第四章、解析应用程序(枚举内容与功能)接上回说起知己知彼,方能百战百胜。渗透前要先了解目标应用程序的内容和功能。列出功能之后就要仔细分析应用程序运行机制的每一个方面核心安全机制客户端与服务器使用的技术这样可以确定程序的受攻击面以及探查时的主要目标。进而发现漏洞。web抓取可以使用工具抓取web站点的内容。首先请求一个页面,对其分析,在对此页面上的其他链接页面进行抓取,一直循...原创 2020-08-25 10:22:07 · 316 阅读 · 0 评论 -
黑客攻防技术宝典-Web实战篇——第三章、Web应用程序技术(编码方案)
第三章、Web应用程序技术(编码方案书接上回不同的编码方案的研发是为了安全处理数据。但是许多情况下,攻击者可以控制编码方案,造成开发者无法预料的行为。URL编码URL中只允许使用US-ASCII码的可打印字符(0x20-0x7e)。图来自https://blog.csdn.net/qq_38769551/article/details/101459811由于在URL或者HTTP协议中...原创 2020-01-30 20:32:01 · 2875 阅读 · 0 评论 -
黑客攻防技术宝典-Web实战篇——第三章、Web应用程序技术(Web功能)(二)
第三章、Web应用程序技术(Web功能)(二)服务器端要接受用户输入,并向用户返回结果。所以他必须提供一个客户端用户界面。因为用户通过浏览器访问,所以用户界面的技术是基于浏览器的。HTML超文本标记语言,是web界面的核心技术。是描述浏览器显示的文档结构的基于标签的语言。超链接超链接驱动服务器与客户的通信。通常超链接包含预先的请求参数。这些些参数是服务器自动插入而无需用户操作。如下:...原创 2020-01-19 22:33:05 · 484 阅读 · 0 评论 -
黑客攻防技术宝典-Web实战篇——第三章、web应用程序技术(web功能)(服务器功能)
第三章、Web应用程序技术(web功能)这一章按照上回末尾所说学习web功能,除了核心通信机制使用的核心技术之外,web应用程序还使用独有技术实现特有功能。所以渗透前要摸头web的功能。服务器功能早期,web站点由HTML文档与图片等静态资源组成,用户请求静态资源,web站点返回。现在web依然有很多静态资源,但是更多的是用户动态请求,web应用程序根据用户的请求参数来返回动态的响应内容。...原创 2020-01-18 22:11:31 · 593 阅读 · 0 评论 -
黑客攻防技术宝典-Web实战篇——第三章、Web应用程序技术(HTTP)(一)
第三章、Web应用程序技术——HTTP(一)上章提到,这一章包含了web的基础知识,重点为HTTPweb功能编码方案如果各位有web经验者提出建议,感激不尽。3.1、HTTPHTTP(HyberText Transfer Protocol),超文本传输协议。它是访问万维网核心通信协议。最初 用来传输静态文档。后来经过扩展利用,支持web应用程序这种复杂的传输。HTTP是用于传输...原创 2020-01-12 19:38:49 · 512 阅读 · 0 评论 -
黑客攻防技术宝典-Web实战篇——第二章、核心防御机制(二)
第二章、核心防御机制(二)书接上文,处理完用户的访问与输入,下面来处理攻击者,管理应用程序。2.3、处理攻击者常言道:居安思危,思则有备,有备无患在进行防御时,开发人员必须假设自己开发的应用程序一定会遭到攻击,并且会被攻破。所以需要一系列的防御与攻击措施尽可能阻止攻击者。以下是处理攻击者采取的措施:处理错误维护审计日志向管理员发出警报应对攻击处理错误用户无意的输入错误、攻...原创 2020-01-11 15:01:20 · 559 阅读 · 0 评论 -
黑客攻防技术宝典-Web实战篇——第二章、核心防御机制(一)
第二章、核心防御机制(一)在 上一章 中我们讲到web应用程序的核心问题在于用户可以提交任何输入,那么相对应的防御机制也大都是针对用户的请求进行处理防御下面是防御机制的核心因素:处理用户访问应用程序的数据和功能,防止用户获得未授权访问。处理用户访问程序的输入,防止错误输入造成不良行为处理攻击者,确保应用程序在成为攻击目标时能正常运转。并采取攻击措施挫败攻击者。管理应用程序本身,帮助管...原创 2020-01-10 17:25:13 · 1183 阅读 · 0 评论