操作环境:Mac OS 一、搭建简单的HTTP连接 1、安装apache服务 1) 查看apache是否安装,若未安装,立即安装 apachectl -v 2) 修改配置文件 前往/etc/apache2文件夹,打开其中最重要的配置文件httpd.conf (带d的名字的文件是守护进程的配置文件) ...
分类:
Web程序 时间:
2018-12-13 23:32:02
阅读次数:
312
大类 细项 标记 备注 上传功能 绕过文件上传检查功能 P1 功能测试阶段覆盖 上传文件大小和次数限制 P1 注册功能 注册请求是否安全传输 P1 功能测试阶段覆盖 注册时密码复杂度是否后台检验 P1 功能测试阶段覆盖 激活链接测试 P1 功能测试阶段覆盖 重复注册 P1 批量注册问题 P1 登录功 ...
分类:
Web程序 时间:
2018-12-13 11:28:58
阅读次数:
196
Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,本篇文章来告诉大家怎么防范挂马和WebShell攻击。 适用范围 Web网站 攻击原理 Websh ...
分类:
Web程序 时间:
2018-12-11 21:54:05
阅读次数:
388
什么是 XSS 攻击 XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的。 常见的 XSS 攻击有三种:反射型、DOM-base ...
分类:
Web程序 时间:
2018-12-10 14:04:48
阅读次数:
184
1、应用服务级别的安全考虑 引入web安全中的十大安全方向: OWASP: 开源web应用安全项目。Open Web Application Security Project 十大安全问题: SQL 注入、失效的身份认证和会话管理、跨站脚本(xss)、失效的访问控制、安全配置错误、 敏感信息泄露、攻 ...
分类:
移动开发 时间:
2018-12-04 15:35:12
阅读次数:
210
一、背景 最近开发公司的WEB项目,商密技术研究部领导推出了一套测试规范,规范中包括web端安全测试扫描,扫描结果不尽如人意,因此搜集及整理如下web安全开发事项。 二、编码安全策略 简述:不要相信任何来自客户端提交的数据,比如URL和参数,HTTP头部、javascript或者其他嵌入代码提交的数 ...
分类:
Web程序 时间:
2018-11-30 11:43:03
阅读次数:
231
一、html、css、javascript 二、面向过程 和 面向对象 三、开发工具 1、编辑器 2、谷歌浏览器扩展 四、构建工具 五、微信小程序 六、版本控制 七、WEB安全 借鉴 :http://www.cnblogs.com/sb19871023/p/3894452.html 扩展类 知识体系 ...
分类:
其他好文 时间:
2018-11-28 12:29:17
阅读次数:
186
1、简述 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。这种攻击方式是最直接和有效的,而且互联网中我们经常会用到文件上传功能,它本身是没有问题的,正常的业务需求,可是文件上传后服务器如果不能安全有效的处理或解释文件,往往会造成严重的后果。 常见的安全问题 ...
分类:
Web程序 时间:
2018-11-26 02:36:25
阅读次数:
306
第1章 课程介绍介绍安全问题在web开发中的重要性,并对课程整体进行介绍1-1 Web安全课程介绍1-2 项目总览 第2章 环境搭建本章节我们会搭建项目所需要的环境2-1 环境搭建上2-2 环境搭建下 第3章 前端XSS系统介绍XSS攻击的原理、危害,以真实案例讲解XSS带来过的损失,最后以实战代码 ...
分类:
Web程序 时间:
2018-11-25 13:14:24
阅读次数:
325
Netsparker刚刚发布了一些匿名的Web安全统计数据,这些统计数据是关于他们的在线解决方案在过去3年中在其用户的Web应用程序和Web服务上发现的安全漏洞。 这些基于数据的统计数据(不是基于调查)可能非常有用 - 至少可以全面了解正在发生的事情。这些统计数据还有一个坚实的目的 - 它们可以帮助 ...
分类:
其他好文 时间:
2018-11-24 22:28:19
阅读次数:
256
