本文简单介绍几种常见的攻击手段及其防御方式 XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 DDOS web安全系列目录 总结几种常见web攻击手段极其防御方式 总结几种常见的安全算法 XSS 概念 全称是跨站脚本攻击(Cross Site Scripting),指攻击者在网页中嵌入恶 ...
分类:
Web程序 时间:
2017-08-01 11:16:51
阅读次数:
216
进入题目看源代码,是否有提示,果不其然:进去看看可以发现只有一个验证,就是输入用户后匹配到数据库中的密码,然后吧MD5加密后的密码(我们输入的)与他数据库的密码对比,如果相同返回0,!0则为1通过我们不知道他数据库中密码是多少,所以,我们要自己掌控这个密码S..
分类:
其他好文 时间:
2017-07-31 22:16:31
阅读次数:
128
这题不饶,直接编程即可我直接贴上我的Python代码#!/usr/bin/python
#coding=utf-8
importbase64
#ror13加密函数(密文传入就是解密,明文传入就是加密)
defrot13(s,OffSet=13):
defencodeCh(ch):
f=lambdax:chr((ord(ch)-x+OffSet)%26+x)
returnf(97)ifch.islower()else(f(..
分类:
Web程序 时间:
2017-07-31 22:15:13
阅读次数:
199
这题目我查了一下是jsfuck加密,是一种很讨厌的写js的方式:进入题目看到一大坨:去查了一下,是jsfuck加密,直接可以放到控制台允许复制一下,然后F12,找到控制台,粘贴进去回车即可
分类:
其他好文 时间:
2017-07-31 22:12:34
阅读次数:
187
web技术发展 静态web 动态web 应用程序 数据库 每人看到内容不同 根据用户输入返回不同结果 web攻击面 network os webserver appserver web application database browser http协议基础 明文 无状态 每一次客户端和服务器端的 ...
分类:
Web程序 时间:
2017-07-31 22:10:18
阅读次数:
186
题名很直接,就知道是上传通过了:首先,我们先随便上传应该PHP一句话过去试一试果然没那么简单。。。那么我们就按部就班的来,给他在加应该后缀变成了图片上传试一试发现还要PHP后缀,我们尝试抓包00截断来绕过发现这里没成功,如何尝试伪造路径截断成功!00截断不懂的同学,..
分类:
Web程序 时间:
2017-07-31 22:03:07
阅读次数:
186
最近项目处于测试阶段,在安全报告中存在" X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图: X-Frame-Options: 值有三个: (1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIG ...
分类:
Web程序 时间:
2017-07-28 11:06:30
阅读次数:
2108
第七章 确保Web安全的HTTPS 1、HTTP的不足 通信使用明文(不加密),内容可能被监听 不验证通信方的身份,因此可能遭遇伪装 无法验证报文的完整性,所以有可能已遭篡改 2、通信加密 1 通信的加密 2 内容的加密 3、通过查看对手的证书(SSL支持,第三方提供),来验证通信方 4、HTTP常 ...
分类:
Web程序 时间:
2017-07-28 11:02:10
阅读次数:
187
1:用户权限测试 (1)用户权限的控制 a:用户权限控制主要是对一些有权限控制的功能进行验证; b:用户A进行的操作,用户B能否操作; c:用户A有条件的用户才能查看的页面,用户B能否查看;(是否可以直接输入URL地址进入) (2:)页面权限控制 a:必须有登录权限的页面,能否在未登录的情况下进行访 ...
分类:
Web程序 时间:
2017-07-26 17:43:11
阅读次数:
197
首页看到提示:ereg()函数有漏洞哩;从小老师就说要用科学的方法来算数ereg漏洞,百度一下就知道了,%00截断后面暂时不明所以,一会倒回来看打开做题网页后,发现代码审计:1.设置变量并且不为空2.限制密码内容,可以使用%00绕过3.密码长度小于8,多少值要大于9999999(7个9)4...
分类:
其他好文 时间:
2017-07-21 22:10:14
阅读次数:
209
