![](https://img-blog.csdnimg.cn/20201014180756754.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Web安全
zyw_anquan
这个作者很懒,什么都没留下…
展开
-
Cookie与Session的简单讨论
因为之前几篇文章都在写Cookie,当我们在讨论Cookie的同时自然会联想到与Cookie类似的另一个概念就是会话(Session),会话一般是记录客户端和服务器端从客户端浏览器连接上服务器端到关闭浏览器期间的持久信息,也称作为服务器端存储状态数据。会话一般保存在内存中,不保存到磁盘上。会话可以通过Cookie机制来实现,对于不支持Cookie的客户端,会话可以采用URL重写方式来实现。可以将会原创 2012-08-15 14:01:18 · 953 阅读 · 0 评论 -
Burp Suite抓取gzip数据包
Burp Suite抓取gzip数据包测试环境[+]JDK 1.8.0_45[+]Burp Suite 1.6.27[+]WinHex 14.2 SR-3[+]WinRAR 5.21下载地址:[+]JDK 1.8.0_45[+]Burp Suite 1.6.27一、抓包Burp Suite抓包方式详见:Burp Suite抓HTTPS数据包(通用)原创 2016-03-02 12:06:49 · 6726 阅读 · 2 评论 -
Google Hacking(谷歌黑客)
Goole Hacker(谷歌黑客)Google Hacker - 简介Google hacker (Google黑客)是利用GOOGLE提供的搜索功能查找黑客们想找到的信息。一般是查找网站后台,网管的个人信息,也可以用来查找某人在网络上的活动。Google hacker 一般是做为黑客在入侵时的一个手段。在入侵过程中有时需要查找后台的登陆口就需要用到GOOGLE HACKER。有原创 2012-11-04 20:20:37 · 8514 阅读 · 0 评论 -
SQL参数化查询
SQL参数化查询一、以往的防御方式以前对付这种漏洞的方式主要有三种:字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行处理,但转载 2014-03-26 15:19:17 · 43864 阅读 · 5 评论 -
在服务器上嵌入到网页的视频播放不了的解决办法
在服务器上嵌入到网页的视频播放不了的解决办法这里讲解一flv格式为例。第一步:写一个flv播放页面 在Dreamweaver中点击"常用"选项,插入一个"flash视频",在弹出的窗口中,可以根据需要选择相应的视频类型,外观,大小,点击确定,这要就插入了一个flv视频,在上传的同时,也会同时生成两个附带的.swf格式的文件,分别是:Clear_Skin_3.swf(这个名原创 2012-12-05 20:07:07 · 16570 阅读 · 0 评论 -
渗透那些事
渗透那些事仅以此文叙述关于渗透测试那些不能不说的故事。作为一名渗透测试人员,每个人都有自己擅长的一面,就如莎翁著作中所说,一千个人眼中有一千个哈姆雷特。从事这份工作是在2008年,正当奥运会开幕前,我离开了北京,开始了千里迢迢的南漂。也正是这次,阴差阳错的走上了渗透测试这条“不归路”。事隔多年,想起高中时候的理想:成为一名黑客(Hacker),黑客没有当成,但希望正走在成为黑客的路上,转载 2012-11-26 21:56:12 · 1400 阅读 · 0 评论 -
java新0day
jre 远程代码执行产生:FireEeye在8月27日发布了一个新的java 0day的一些相关信息,该漏洞影响浏览器的JRE[1.7.x]插件,影响非常大,攻击者可利用该漏洞进行挂马攻击,进而控制网民用户的计算机。在捕获的样本中发现使用了Dadong’s JSXX 0.44 VIP加密方式。目前,该漏洞的利用代码已被公开,而官方尚未发布任何补丁;在补丁发布之前,建议用户卸载或禁用原创 2012-08-28 14:37:33 · 4044 阅读 · 2 评论 -
最详细SQL注入教程
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WW转载 2012-08-31 16:53:58 · 33834 阅读 · 2 评论 -
HTTP无状态协议分析与Cookie的关系
接上篇博文。我们知道HTTP协议是一种无状态的协议,及客户端和服务器端不需要建立持久的链接。客户端和服务器的链接是基于一种请求应答模式。及客户端和服务器建立一个链接,客户端提交一个请求,服务器端收到请求后返回一个响应,然后二者就断开链接。即HTTP协议采用请求/响应模型。客户端向服务器发送一个请求报文,请求报文包含请求的方法、URL、协议版本、请求头部和请求数据。服务器以一个状态行作为响应,响原创 2012-06-07 15:23:13 · 3778 阅读 · 1 评论 -
集思广益、百家争鸣:“Cookie”的概念、作用以及保存、清除“Cookies”的讨论
浏览网页和“Cookie”与生俱来、相伴而生。“Cookie”(其复数形式为Cookies)英译中即:饼干、小甜饼。有人戏称“就着牛奶一起吃的点心”。然而,在因特网领域“Cookie”有它完全不同的特定含义。那么,“Cookie”到底是什么呢?IT业界精英们对它是如何评判的呢?下面,让我们来看看“正方”和“反方”的各自说法—— “Cookie”定义于RFC2109(网络协议)。它是网转载 2012-07-18 16:49:31 · 1195 阅读 · 0 评论 -
Cookie特性总结
在之前写到过一些关于Cookie的研究,这里给出其特性总结,我共总结了7点,基本都不需要去展开,供大家分享:①无毒;②存储在客户端;③只能存储字符串;④大小不超过4k;⑤具有生命周期;⑥不安全;⑦具有作用范围。原创 2012-07-18 16:31:38 · 1525 阅读 · 0 评论 -
Application、Session、Cookie、ViewState的特性
Application的特性: 存储的物理位置:服务器端内存。 存储的类型限制:任意类型,Application对象可以存放其它对象。 状态使用的范围:整个应用程序。 存储的大小限制:任意大小。 生命周期:应用程序开始时创建,应用程序结束时销毁。 安全与性能:安全性较高(因为存放在服务器端),不能存放大量数据。 Session的特性:InProc S转载 2012-06-14 18:44:37 · 1310 阅读 · 0 评论 -
Cookie工作过程
当在用户在浏览器地址栏中键入了一个Web站点的URL时,浏览器会向该Web站点发送一个读取网页的请求,并将结果在用户显示器上显示。这时该网页在用户计算机上寻找对应这个网站设置的Cookie文件,如果找到,浏览器会把Cookie文件中的数据连同前面输入的URL一同发送到该网站服务器。服务器收到Cookie数据,就会在它的数据库中检索客户端的ID、购物记录、个人喜好等信息,并记录下新的内容,增加到数据原创 2012-06-07 15:18:33 · 8840 阅读 · 1 评论 -
Tcp 断开连接
这篇还不错的文章附上地址:http://www.cppblog.com/toMyself/archive/2010/08/11/123072.htmlTCP状态转移要点 TCP协议规定,对于已经建立的连接,网络双方要进行四次握手才能成功断开连接,如果缺少了其中某个步骤,将会使连接处于假死状态,连接本身占用的资源不会被释放。网络服务器程序要同时管理大量连接,所以很有必要保证转载 2012-08-02 15:40:08 · 1575 阅读 · 0 评论 -
HTTPS 中双向认证SSL 协议的具体过程
HTTPS 中双向认证SSL 协议的具体过程:这里总结为详细的步骤:① 浏览器发送一个连接请求给安全服务器。② 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。③ 客户浏览器检查服务器送过来的证书是否是由自己信赖的 CA 中心所签发的。如果是,就继续执行协议;如果不是,客户浏览器就给客户一个警告消息:警告客户这个证书不是可以信赖的,询问客户是否需要继续。④ 接着客户浏原创 2012-08-03 23:23:58 · 14642 阅读 · 4 评论 -
Firefox(火狐浏览器)常用插件
Firefox(火狐浏览器)常用插件同样是为了便于记忆,每次重装以后都要去找哪些插件。前段时间写了关于Chrome的插件,详见Chrome(Google浏览器)常用插件1、FireBug2、HackBar3、Show Location4、User-Agent Switcher5、ReloadEvery原创 2016-08-27 12:57:11 · 5445 阅读 · 0 评论