本来是在看web安全的,浏览器端的一些常见漏洞以及处理方式看完之后,接下来就是介绍服务器端的安全; 怎奈本人对服务器(linux)端的知识了解得实在是少,之前也只是建个站点,装个证书啥的,几天看下来, 可谓是云里雾里,于是决定暂时把这本《白帽子讲web安全》搁下,顺势拿起了《鸟哥的Linux私房菜》 ...
分类:
系统相关 时间:
2018-08-20 01:10:16
阅读次数:
225
一个合格的PHPer,一定是要考虑web的安全的问题的,今天就简单的总结一下web的常识性的知识: 1.安全问题的本质是信任的问题 安全问题的三要素:机密性(Confidentiality),完整性(Integrity),可用性(Availablity) ①机密性要求保护的内容不能泄露,加密是实现机 ...
分类:
Web程序 时间:
2018-08-05 23:32:45
阅读次数:
567
先来说一下什么是会话管理?在绝大多数web应用程序中,会话管理机制是一个基本的安全组件。它帮助应用程序从大量不同的请求中确认特定的用户,并处理它收集的关于用户与应用程序交互状态的数据。会话管理在应用程序执行登陆功能时显得特别重要,因为它可在用户通过请求提交他们的证书后,持续向应用程序保证任何用户身份 ...
分类:
Web程序 时间:
2018-08-02 18:21:18
阅读次数:
1293
验证机制是应用程序防御恶意攻击的中心机制。它处于防御未授权的最前沿,如果用户能够突破那些防御,他们通常能够控制应用程序的全部功能,自由访问其中的数据。缺乏安全稳定的验证机制,其他核心安全机制(如回话管理和访问控制)都无法有效实施。 web应用程序常用的验证机制有: 1) 基于HTML表单的验证(最常 ...
分类:
Web程序 时间:
2018-07-31 21:58:27
阅读次数:
155
Web 安全概念 Web 应用中存在很多安全风险,这些风险会被黑客利用,轻则篡改网页内容,重则窃取网站内部数据,更为严重的则是在网页中植入恶意代码,使得用户受到侵害。常见的安全漏洞如下: XSS 攻击:对 Web 页面注入脚本,使用 JavaScript 窃取用户信息,诱导用户操作。 CSRF 攻击 ...
分类:
Web程序 时间:
2018-07-27 19:29:32
阅读次数:
215
在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSS。 XSS 攻击是指攻击者在网站上 ...
分类:
其他好文 时间:
2018-07-19 17:36:46
阅读次数:
167
在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。本文将会简单介绍 XSS 和 CSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading ...
分类:
其他好文 时间:
2018-07-16 11:26:15
阅读次数:
151
《Web安全开发指南》 PDF 只需一元 链接:https://pan.baidu.com/s/1beqor1MxDJiM1cstfpXZew 密码:5zvg ...
分类:
Web程序 时间:
2018-07-13 16:17:33
阅读次数:
282
一、如何理解SQL注入?SQL注入是一种将SQL代码添加到输入参数中传递到SQL服务器解析并执行的一种×××手法二、SQL注入是怎么产生的?WEB开发人员无法保证所有的输入都已经过滤×××者利用发送给SQL服务器的输入数据构造可执行的SQL代码数据库未做相应的安全配置三、如何寻找SQL输入漏洞?==借助逻辑推理==1.识别web应用中所有输入点GET数据POST数据HTTP头信息2.了解哪些类型的请求
分类:
数据库 时间:
2018-07-11 10:41:12
阅读次数:
194
CSRF:跨站请求伪造。 攻击原理:一个用户登陆了可信的网站A,身份验证后A会下发一个cookie;此时用户又打开了另一个危险网站B,B引诱用户点击连接(该链接会访问A的接口),由于此时会携带cookie,网站A认为这个请求是合法的,就执行了该请求。 防范措施: 1.接口增加token 2.refe ...
分类:
Web程序 时间:
2018-07-08 21:18:28
阅读次数:
225
