Web系统安全初步

最新推荐文章于 2024-07-17 16:14:05 发布
最新推荐文章于 2024-07-17 16:14:05 发布
阅读量88 收藏
点赞数
分类专栏: Web系统安全 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zccst/article/details/84300398
版权
作者:zccst

真是应了那样一句话:“用到了,才体会深刻”。

近期,安全评估小组对我负责的Web系统进行安全检查,发现了很多漏洞,这些都是我平常没有注意到的地方,或者认为不是那么重要的地方。

1,sql注入
(1) 比如,从前端接收一个ID,来查询或更新数据时,如果ID被篡改为id="100 and 1=2",则会查询为空。

(2) 单引号
可以在执行sql前,使用mysql_escape_string()方法。
注意:yii的ActiveRecord已经考虑该问题。

参考:


2,XSS漏洞
比如有一个输入框:input,输入了一段”/><script>alert(cookie)</script>“,则在显示时会引起安全问题。因为他先封闭了html标签,然后执行一段脚本。

解决办法:进行html标签过滤。
htmlspecialchars方法()
把一些预定义的字符转换为 HTML 实体。

预定义的字符是:

& (和号) 成为 &
" (双引号) 成为 "
' (单引号) 成为 '
< (小于) 成为 <
> (大于) 成为 >


3,定时任务篡改
参数组携带ls -al命令,再用system();输出。
zccst
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全学习笔记-Web-Sec Documentation
01-30
文档教导读者如何通过网络入口、域名信息、端口扫描和站点分析等方法来收集目标系统的初步情报,为后续的渗透测试或安全评估做准备。 总的来说,这份Web-Sec Documentation是一份全面的Web安全指南,不仅包含了网络...
web安全渗透测试.7z
04-08
"渗透测试" 是一种系统化的安全评估方法,通过尝试突破系统的防护边界来发现安全弱点。在Web安全领域,渗透测试常常涵盖SQL注入、XSS攻击、文件包含漏洞、命令注入、权限绕过等测试项目。 【压缩包子文件的文件名称...
CTF web安全45天入门学习路线
b1ackc4t的博客
01-23 7619
前言 因为最近在准备开发CTF学习平台,先做一个学习路线的整理,顺便也是对想学web的学弟学妹的一些建议。 学习路线 初期 刚刚走进大学,入了web安全的坑,面对诸多漏洞必然是迷茫的,这时的首要任务就是打好网站开发的基础,曾有伟人说过-“自己不会做网站,何谈去找网站的漏洞”,在学习漏洞前,了解基本网站架构、基础网站开发原理,基础的前后端知识,能够让你之后的漏洞学习畅通无阻。 html+css+js(2-3天) 前端三要素 html、css、js是被浏览器解析的代码,是构成静态页面的基础。也是前端漏洞如xss
【知识点】web安全怎么做
指错||纠正||建议||水评+点赞&&评论&&关注&&转发,在这里你大概率会有所收获
08-26 2274
Web安全怎么做
Web安全基础》01. 基础知识
学习学习学习......
05-26 1176
概念名词、数据包、网站搭建介绍、Web 源码、数据库拓展、操作系统拓展、第三方拓展、密码算法、Web 漏洞。
web渗透测试学习路线
热门推荐
m0_52051132的博客
03-26 2万+
web渗透学习路线 文章目录*web渗透学习路线*前言一、web渗透测试是什么?二、web渗透步骤1.前期工作2.中期提高后期打牢总结 前言 本文整理的学习路线,清晰明了,重点分明,能快速上手实践,相信想学的同学们都能轻松学完。都是干货啦,先收藏⭐再看吧。本文偏基础能让萌新们快速摸到渗透测试的门道,少走弯路,也能让正在学习的小伙伴们查漏补缺,也欢迎大佬们在评论区指正错误~ 这里附上我之前学习的路线图 提示:以下是本篇文章正文内容,下面案例可供参考 一、web渗透测试是什么? Web渗透测试分为白盒测
WEB安全学习第五天:系统和数据库
weixin_43171447的博客
04-19 2240
1 实验环境与工具 kali linux nmap metasploit(msf) 2 相关知识点 2.1 操作系统识别 1.通过浏览器修改URL查看:windows的URL不区分大小写,linux区分 2.通过cmd来ping网站查看TTL值来大致判断 3.使用nmap的-O命令对网站进行扫描 2.2 数据库类型识别 1.不同的脚本语言往往会搭配特定扥数据库,可以通过查看网站脚本类型进行初步判断。 2.不同数据库有特定端口号,使用nmap对端口进行扫描,查看处于open状态的数据
系统安全设计的方法--威胁建模
09-14 3316
总的来说,威胁建模是要消耗时间成本的,但对于系统安全来说是值得的,因为面对来自方方面面的系统安全威胁,如果我们能“料敌于先”,堂堂正正做好防御措施,总比听天由命式的仓促应战更有胜算吧。问题驱动的方法可以帮助识别相关的威胁和攻击。因为从性能和功能的角度来看,威胁建模中确定的关键资源也可能是功能和性能的关键资源,所以我们可以在平衡所有需求时重新审视和调整模型,这是正常的,也是这一过程的重要成果。漏洞的识别和应用是一个事件的两个步骤,首先,通过询问问题来识别通常的功能漏洞,然后,查找功能是否有漏洞列表中的漏洞。
WEB安全学习第四天:WEB源码扩展
weixin_43171447的博客
04-18 878
1.实验环境与工具 2.实验内容 2.1 ASP,PHP等源码下的安全测试 2.2 针对源码应用分类分析漏洞 2.3 简要目标的识别与源码获取 3.知识点总结
信息系统安全复习提纲
Sun_study的博客
01-03 2万+
信息系统安全复习 2021.12月整理 标注了部分2021年12月考察到的知识点 目录信息系统安全复习一、基本概念第一讲 信息系统概论1.什么是信息系统2.信息系统的例子,包括云计算、雾计算、边缘计算等3.信息系统的架构、架构的复杂度第二讲 信息系统安全概论1. 信息系统安全威胁,常见的威胁,攻击致命度2. 信息系统安全的概念,**怎样理解一个信息系统是安全的;**3. 信息系统安全保障体系的要素和能力;(2021年12月考)4. 基于信息保障的信息系统安全概念第三讲 安全需求和安全策略1. 安全需求,一般
web安全10大风险
LDF-Dicky的博客
10-03 2223
官方文档: http://www.owasp.org.cn/owaspproject/OWASPTop102017RC1V1.0.pdf 转载源:http://blog.csdn.net/lifetragedy/article/details/52573897 OWASP Top 10 – 2013 (旧版) OWASP Top 10 – 2017 (
Web渗透测试实战——(2.1)Metasploit 6.0初步
重在分享
02-10 3105
Web渗透测试实战——(2.1)Metasploit 5.0初步一、什么是Metasploit二、技术要求三、Metasploit各生命周期中使用的组件与模块四、Metasploit 辅助工具1. Nessus2. 安装WindowsLinux(详细)3. kali自带 Namp4. kali 自带Metasploitkali安装 (虚拟机)实例教程(仅供教学测试)五、推荐的测试平台 一、什么是Metasploit Metasploit本质上是一个健壮且通用的渗透测试框架。它可以执行渗透测试生命周期中涉及的
web安全测试
06-04
Web安全测试是针对基于Web的应用程序进行的一种安全性评估过程,旨在发现并修复可能导致数据泄露、系统破坏或服务中断的安全漏洞。随着互联网技术的发展,Web应用成为黑客攻击的主要目标,因此,Web安全测试变得至关...
初步学习web.zip
07-19
【标题】: 初步学习Web开发:使用德鲁伊数据连接池与Tomcat...这只是一个起点,Web开发涉及的领域广泛,包括前端界面设计、框架使用、安全控制、性能优化等,随着学习的深入,你将掌握更多技能,构建更复杂的Web系统。
通向架构师的道路(第十三天)Axis2 Web Service安全初步.docx
10-27
通向架构师的道路(第十三天)Axis2 Web Service安全初步 Axis2 Web Service安全是Web服务成功的必要保证。由于Web服务使用XML进行数据交换,而XML在默认情况下是明文编码的,同时,大部分Web服务使用HTTP协议作为...
HardeningMeter:一款针对二进制文件和系统安全强度的开源工具
FreeBuf_的博客
07-17 1131
其强大的功能包括全面检查各种二进制利用保护机制,包括 Stack Canary、RELRO、随机化(ASLR、PIC、PIE)、None Exec Stack、Fortify、ASAN、NX bit。HardeningMeter是一款针对二进制文件和系统安全强度的开源工具,该工具基于纯Python开发,经过了开发人员的精心设计,可以帮助广大研究人员全面评估二进制文件和系统的安全强化程度。-d --directory:指定要扫描的目录,该参数检索一个目录并递归扫描所有 ELF 文件;本项目的开发与发布遵循。
WAF基础介绍
weixin_68864415的博客
07-13 1075
WAF可以检测Web应用程序中的各种攻击,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等,并采取相应的措施,例如拦截请求、阻止访问、记录事件等。日志记录:WAF记录所有请求和响应的详细信息,包括请求头、请求体、响应头、响应体等。攻击响应:WAF根据检测结果采取相应的措施,例如拦截请求、阻止访问、记录事件等。WAF可以检查请求头、请求体、Cookie、URL参数等信息,并识别其中的攻击。4、黑名单规则检查:注入攻击检查、跨站攻击检查、Webshell检查、中间件漏洞检查。
数据分析的核心技能和方法
最新发布
07-19
数据分析的核心技能和方法
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包
07-19
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 平湖人寿保险公司保险销售网站分为用户和管理员两个部分 前台部分(用户界面): 1、资讯浏览功能: (1)新闻资讯浏览 (2)新闻资讯查询 (3)公司简介 (4)通知公告 2、用户登录注册功能: (1)注册 (2)登录 3、用户管理功能 (1)个人信息管理 (2)订单管理 4、保险购买功能: (1)保险产品浏览 (2)保险产品查询 (3)保险产品购买 后台管理(管理员界面) 1、管理员登录功能: 管理员在管理员登录界面输入用户名和密码,即可登录管理员的界面。 2、资讯管理功能: (1)新闻资讯管理 (2)公司简介管理 (3)通知公告管理 3、保险产品管理: (1)保险产品信息管理 (2)保险产品查询 4、会员管理: (1)会员删除 (2)会员级别管理 5、统计管理: (1)保险产品销售量统计 (2)有效会员数量统计 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程
Web新生报到系统:设计、开发与功能详解
在原型阶段,开发者会先创建一个初步的系统模型,然后根据用户的反馈和需求进行不断的调整和优化。这个过程可能涉及多次的版本迭代,直至系统的功能满足用户期望,达到实用性和易用性的平衡。 基于Web的新生报到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值