1. 数据验证流程:一个好的web系统应该在IE端,server端,DB端都应该进行验证。但有不少程序偷工减料,script验证完了,就不管了;app server对数据长度和类型的验证与db server的不一样,这些都会引发问题。有兴趣的可参看一下script代码,设计一些case,这可是你作为 ...
分类:
Web程序 时间:
2016-05-11 16:34:31
阅读次数:
149
1 当前 Web 安全现状 互联网的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球因特网用户已达 13.5 亿,用户利用网络进行购物、银行转账支付和各种软件下载,企业用户更是依赖于互联网构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。 然 而,现实世界中,针对网站的攻击愈 ...
分类:
移动开发 时间:
2016-05-08 10:24:29
阅读次数:
241
前言 当今世界,Internet(因特网)已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用 在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的 攻 ...
分类:
移动开发 时间:
2016-05-08 09:08:27
阅读次数:
369
如今web服务随处可见,成千上万的web程序被部署到公网上供用户访问,有些系统只针对指定用户开放,属于安全级别较高的web应用,他们需要有一种认证机制以保护系统资源的安全,本文将探讨五种常用的认证机制及优缺点。Basic模式HTTP协议规范中有两种认证方式,一种是Basic认证,另外一种是Digest认证,这两种方式都属于无状态认证方式,所谓无状态即服务端都不会在会话中记录相关信息,客户端每次访问...
分类:
Web程序 时间:
2016-05-08 06:55:33
阅读次数:
209
《图解HTTPS》读书笔记。
在HTTP协议中有可能存在信息窃听或身份伪装等安全问题,使用HTTPS通信机制可以有效地防止这些问题。
1.HTTP的缺点
HTTP主要有这些不足,例举如下。
通信使用明文,内容可能会被窃听;
不验证通信方的身份,因此有可能遭遇伪装;
无法证明报文的完整性,所以有可能已遭篡改……
这些问题不仅在HTTP上出现,其他未加密的协议中也会存在这类问题。
除此...
分类:
Web程序 时间:
2016-05-06 15:03:17
阅读次数:
291
BurpSuite BurpSuite 是一款使用Java编写的,用于Web安全审计与扫描套件。它集成了诸多实用的小工具以完成http请求的转发/修改/扫描等,同时这些小工具之间还可以 互相协作,在BurpSuite这个框架下进行各种强大的,可订制的攻击/扫描方案。安全人员可以借用它进行半自动的网络 ...
分类:
其他好文 时间:
2016-05-04 20:52:35
阅读次数:
446
1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用 ...
分类:
编程语言 时间:
2016-05-03 14:05:38
阅读次数:
209
webfont解剖 Unicode字体可以包含数以千计字形 有四个字体格式: WOFF2, WOFF, EOT, TTF 一些字体格式需要使用GZIP压缩 一个web字体是字形的集合,且每个字形是一个描述了一个字母亦或符号的矢量图。 所以,一个字体文件的大小由两个因素决定:每个字形矢量路径的复杂程度 ...
分类:
Web程序 时间:
2016-05-02 20:01:45
阅读次数:
484
简单的说,所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。例如:如果用户在用户名文本框中输入 ' or '1' = '1' or '1' = '1,则验证的SQL语句变成: select * from student where username='' or '1' = '1' or '1' = '1' and password='';...
分类:
数据库 时间:
2016-04-26 22:16:42
阅读次数:
330
简介 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而 ...
分类:
Web程序 时间:
2016-04-18 13:16:13
阅读次数:
214
