HTTP基础知识(七) 七、确保Web安全的HTTPS 1、HTTP的缺点 (1)通信使用明文(不加密),内容可能会被窃听 因为按TCP/IP协议族的工作机制,通信内容在所有的通信线路上都有可能遭受到窥视。即使已经过加密处理的通信,也会被窥视到通信内容,这点和未加密的通信时相同的。(使用抓包工具就可 ...
分类:
Web程序 时间:
2017-03-09 18:32:05
阅读次数:
179
参考:http://blog.csdn.net/sum_rain/article/details/37085771 Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方: 1)防止表单重复提交、 ...
分类:
Web程序 时间:
2017-03-06 18:30:06
阅读次数:
159
第七章 确保web安全的https 1.http的缺点: (1)通信使用明文,内容可能会被窃听 (2)不验证通信方的身份,因此有可能遭遇伪装 (3)无法证明报文的完整性,因此有可能已遭篡改。 2.通信的加密 (1)http没有加密机制,但可以通过和SSL或TLS的组合使用,加密http的通信内容,与 ...
分类:
Web程序 时间:
2017-03-06 17:38:54
阅读次数:
215
XSS编码与绕过 0x00 背景 对于了解web安全的朋友来说,都知道XSS这种漏洞,其危害性不用强调了。一般对于该漏洞的防护有两个思路:一是过滤敏感字符,诸如【<,>,script,(,'】等,另一种是对敏感字符进行html编码,诸如php中的htmlspecialchars()函数。 一般情况, ...
分类:
其他好文 时间:
2017-03-06 01:09:55
阅读次数:
2510
原文地址:http://drops.wooyun.org/web/2718 分类:web安全(这篇文章的侧重点是利用系统命令)一、查看访问日志看是否有文件上传操作(POST方法), [plain] view plain copy IPREMOVED - - [01/Mar/2013:06:16:48 ...
分类:
Web程序 时间:
2017-02-25 15:52:44
阅读次数:
189
转自:XSS攻击的解决方法 在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务 ...
分类:
其他好文 时间:
2017-02-24 16:06:53
阅读次数:
207
sql 注入攻击 用户的输入,合法性判断 提交表单 xss 攻击 盗取用户各类账号 盗取重要私聊 非法转账 控制受害机器想其他网站发起攻击 取出用户的cookie 对输入做校验 对 < > , ; 等字符做过滤 尽量采用post方式提交数据 ...
分类:
Web程序 时间:
2017-02-23 13:30:07
阅读次数:
183
找web安全扫描器的时候发现了netsparker4.0,是2015年的新版,最大的亮点就是安全扫描的自动化程度更高了!安全测试时你不再需要录制登录信息,同时其还支持双因素认证。界面看起来很高大上,于是网上下载了个破解版体验了一下 初体验 界面很简单明了,设置下url 然后就可以快速使用默认方式进行 ...
分类:
Web程序 时间:
2017-02-19 11:04:49
阅读次数:
257
今天在学习《白帽子讲web安全》一书是,提到一个php远程文件包含漏洞 可以从攻击者服务器中的一个写好的攻击脚本中远程执行命令 服务器中有漏洞的页面代码为: 攻击者服务器中的攻击脚本为: 攻击者可以构造如下url远程调用攻击者服务器上的攻击脚本: /test.php/?param=http://23 ...
分类:
Web程序 时间:
2017-01-24 13:28:24
阅读次数:
205
今天看《白帽子讲WEB安全》一书,看到笔者谈到Linux如何实现真随机数生成,感觉非常有用,记录下来 直接通过Linux的随机数设备生成,基本贴近物理方法生成,属于可靠手段,比使用时间作为种子生成随机数要可靠的多 通常我们认为依据系统时钟产生的随机数是可靠的,实际上,时间是不断增长的,只要攻击者知道 ...
分类:
系统相关 时间:
2017-01-23 20:27:07
阅读次数:
280
