建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时 ...
分类:
Web程序 时间:
2019-11-13 11:26:58
阅读次数:
122
1、漏洞描述:文件上传漏洞,是指可以利用WEB上传一些特定的文件包含特定代码如(<?php phpnfo;?> 可以用于读取服务器配置信息。上传成功后可以点击) 上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传本身是web中最为常见的一种功能需求,关 ...
分类:
Web程序 时间:
2019-10-27 10:50:52
阅读次数:
325
1,认证 需要登录帐号的角色 2,授权 帐号的角色的操作范围 3,避免未经授权页面直接可以访问 使用绝对url(PS:绝对ur可以通过httpwatch监控每一个请求,获取请求对应的页面),登录后台的每个页面 3,session和cookie sessioid- cookie欺骗 避免保存敏感信息到 ...
分类:
Web程序 时间:
2019-10-27 10:42:48
阅读次数:
115
1.跨站攻击含义 XSS:(Cross-site scripting)全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他 ...
分类:
Web程序 时间:
2019-10-27 10:28:40
阅读次数:
131
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时 ...
分类:
Web程序 时间:
2018-11-07 11:19:18
阅读次数:
226
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时 ...
分类:
Web程序 时间:
2018-02-08 17:40:55
阅读次数:
238
http://blog.csdn.net/stacey_sz/article/details/53669066 工具篇 Watchfire Appscan——全面自动测试工具 Acunetix Web Vulnerability ——全面自动测试工具 ScannerHttpAnalyzerFull— ...
分类:
Web程序 时间:
2018-01-23 18:24:15
阅读次数:
226
日常生活中,我们接触最多的Http组件就是浏览器了!但是,还有其他也很重要的组件,下面容我慢慢盘点: 1.代理服务器 代理服务器就是帮助我们发送请求报文,接受响应报文的服务器。对web服务器而言,代理服务器就是客户端,其实真正的客户端在代理的背后。 代理在web安全,性能优化以及应用集成三个方面都很 ...
分类:
Web程序 时间:
2017-08-12 18:13:00
阅读次数:
149
1 当前 Web 安全现状 互联网的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球因特网用户已达 13.5 亿,用户利用网络进行购物、银行转账支付和各种软件下载,企业用户更是依赖于互联网构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。 然 而,现实世界中,针对网站的攻击愈 ...
分类:
移动开发 时间:
2016-05-08 10:24:29
阅读次数:
241
(4)前端知识体系: 总体: 理论知识:http标准、W3C标准、ECMAScript标准。 基本编程语言:html(Html5)、css(css3)、javascript 框架和类库:jquery、Bootstrap、react等 其他:浏览器兼容、缓存、响应式、web安全、性能优化等。 其中"h
分类:
其他好文 时间:
2016-03-08 10:37:27
阅读次数:
157
