剖析是用于研究和精确描述网站结构和应用工作方式的策略,是一个非常重要却常被忽视的Web入侵方向.基础架构的支持:Web服务器,硬件/软件,DNS项目,网络设备,负载平衡器等.一、介绍二、基本的标志获取三、高级HTTP指纹识别四、基础构架中介一、介绍 1.足迹法(Footprinting)-使用各种....
分类:
Web程序 时间:
2015-09-28 13:06:23
阅读次数:
270
3.1xss简介crosssitescript本来缩写是css,为了跟网站开发中的css区分,安全领域称为xss。xss的产生原因是直接把用户的输入,输出到页面上,黑客可以输入脚本语句进行攻击。xss的分类:反射性xss,需要诱使用户点击恶意链接才能攻击成功;存储型xss,也叫持久型xss,黑客输入的..
分类:
Web程序 时间:
2015-09-23 17:17:01
阅读次数:
139
Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的...
分类:
Web程序 时间:
2015-09-21 19:50:33
阅读次数:
1090
杂志:hackcto ,书安乌云知识库,91ri.org,安全脉搏(http://www.secpulse.com/)乌云公开漏洞,乌云热点漏洞,90sec内网渗透找90.web注入找习科, 已知思路和漏洞上乌云, exp开发找beebeeto, 奇淫技巧上t00ls,多看多总结, over;
分类:
Web程序 时间:
2015-09-18 15:19:04
阅读次数:
136
session的保持是通过cookie来维持的,所以如果用户有勾选X天内免登录,这个session 就X天内一直有效,就是通过这个cookie来维护。如果没选X天内免登录,基本上就本次才能保持session,下次打开浏览器就要重新登录了。所以在web安全里,黑客通过XSS,最终目的就是获取cooki...
分类:
Web程序 时间:
2015-09-02 10:34:04
阅读次数:
138
什么是.NET Framework安全性?.NET Framework 提供了用户和代码安全模型,允许对用户和代码可以执行的操作进行限制。要对基于角色的安全性和代码访问安全性进行编程,可以从System.Security命名空间中使用类型。.NET Framework 还提供了System.Secu...
分类:
Web程序 时间:
2015-08-27 18:23:28
阅读次数:
168
01 – UnhideUnhide 是一个查寻隐藏了进程和端口的Rootkits/LKMs或其它隐藏技术的探测鉴定工具。Unhide可以运行于linux/Unix和windows系统。链接: http://www.unhide-forensics.info评论:“非常完整好用的工具.轻松找到隐藏文件...
分类:
Web程序 时间:
2015-08-27 13:15:22
阅读次数:
222
本文主要选择常见web攻击手段之一的XSS(跨站点脚本攻击)来进行讲解,说明其攻击原理,并提出相应的解决办法。XSSXSS 攻击,全称是“跨站点脚本攻击”(Cross Site Scripting),之所以缩写为 XSS,主要是为了和“层叠样式表”(Cascading Style Sheets,CSS)区别开,以免混淆。
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代...
分类:
Web程序 时间:
2015-08-26 09:32:29
阅读次数:
218
防止垃圾评论与机器人的攻击手段如下:1)IP限制。其原理在于IP难以伪造。即使是对于拨号用户,虽然IP可变,但这也会大大增加共攻击的工作量。2)验证码。其重点是让验证码难于识别,对于“字母+数字”的验证码,关键在于形变与重叠,增加其破解中切割和字模比对的难度,人眼尚且难以辨识,机器就更难处理了,再者...
分类:
Web程序 时间:
2015-08-25 13:20:29
阅读次数:
134
阅读目录大数据时代淘宝技术这十年白帽子讲Web安全重构:改善既有代码的设计代码整洁之道Web前端黑客技术揭秘浪潮之巅游戏改变世界免费:商业的未来罗辑思维简约至上:交互式设计四策略Head First设计模式(中文版)程序员的数学思维修炼(趣味解读)互联网金融互联网时代的软件革命设计模式之禅(第2版)...
分类:
其他好文 时间:
2015-08-19 19:14:56
阅读次数:
139
