HTTP权威指南 TCP/IP详解 图解TCP/IP 图解HTTP Head First 设计模式 白帽子讲 WEB 安全 前端开发基础知识 高性能WEB应用设计 ...
分类:
其他好文 时间:
2016-09-08 06:11:29
阅读次数:
143
1 前言近年来,随着Web2.0的大潮,越来越多的人开始关注Web安全,新的Web攻击手法层出不穷,Web应用程序面临的安全形势日益严峻。跨站脚本攻击(XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP开放式Web应用程序安全项目(OWASP,Open We ...
分类:
其他好文 时间:
2016-09-01 09:25:39
阅读次数:
198
iptables介绍 iptables是与最新的2.6.x版本的linux内核集成的ip信息包过滤系统。如果linux系统连接到因特网lan、服务器或链接lan和因特网的代理服务器,则该服务器有利于在linux系统上更好的控制ip信息包过滤和防火墙配置。 neitfilter/iptables ip ...
分类:
Web程序 时间:
2016-09-01 00:11:12
阅读次数:
219
对上文 【web安全】第二弹:XSS攻防中的复合编码问题 的一些补充,思路来源于:http://escape.alf.nu/3/ html解码的问题: 通过appendChild添加的节点,不会被HTML解码,示例代码如下: 只有通过innerHTML插入页面的代码才会被HTML解析。 解析后为: ...
分类:
其他好文 时间:
2016-08-29 19:08:29
阅读次数:
131
跨站请求伪造(即CSRF)被Web安全界称为诸多漏洞中“沉睡的巨人”,其威胁程度由此“美誉”便可见一斑。本文将简单介绍该漏洞,并详细说明造成这种漏洞的原因所在,以及针对该漏洞的黑盒测试与灰盒子测试具体方法和示例,最后提提了一些防范该攻击的建议,希望本文对读者的安全测试能够有所启发。 一、CSRF概述 ...
分类:
Web程序 时间:
2016-08-28 22:10:47
阅读次数:
184
在Web1.0时代,人们更多是关注服务器端动态脚本语言的安全问题,比如将一个可执行脚本(俗称Webshell)通过脚本语言的漏洞上传到服务器上,从而获得服务器权限。在Web发展初期,随着动态脚本语言的发展和普及,以及早期工程师对安全问题认知不足导致很多”安全血案”的发生,至今仍然遗留下许多历史问题, ...
分类:
数据库 时间:
2016-08-24 12:31:04
阅读次数:
243
xss:跨站脚本攻击,攻击者,把一段恶意代码镶嵌到web页面,,用户浏览页面时,嵌入页面的恶意代码就会执行,从而到达攻击用户的目的。 重点在于脚本,javascript和actionscript 属于前段攻击一般分为三类: 反射性xss,储存型XSS,DOM型XSS((还有flash XSS、mXS ...
分类:
Web程序 时间:
2016-08-18 23:20:15
阅读次数:
300
load_file() 条件:要有file_priv权限 知道文件的绝对路径 能使用union 对web目录有读权限 如果过滤啦单引号,则可以将函数中的字符进行hex编码 步骤: 1.读/etc/init.d下的东西,这里有配置文件路径。 2.得到web的安装路径 3.读取密码文件 into out ...
分类:
数据库 时间:
2016-08-13 20:55:45
阅读次数:
243
联合查询的条件: 有显示位。当然要有注入点!! 提前需要了解的函数: union可合并两个或多个select语句的结果集,前提是两个select必有相同列、且各列的数据类型也相同 distinct 去重的函数 group_concat() 把同组的数据为一行打印出来 limit 0,1 0是行数,从 ...
分类:
数据库 时间:
2016-08-13 19:34:33
阅读次数:
174
学习web安全 需要的软件 和 基础 基础会在以后发出来 软件 在网上都可以下 首先 你要有一款虚拟机软件 虚拟系统通过生成现有操作系统的全新虚拟镜像,它具有真实windows系统完全一样的功能,进入虚拟系统后,所有操作都是在这个全新的独立的虚拟系统里面进行,可以独立安装运行软件,保存数据,拥有自己 ...
分类:
Web程序 时间:
2016-08-10 22:21:59
阅读次数:
184
