随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站VIP会员密码泄露大多就是通过Web表单递
原创
2013-02-28 12:38:14
606阅读
Web安全1.Web安全的兴起Web攻击技术的发展也可以分为几个阶段。Web1.0时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本上传到服务器上,从而获得权限。动态脚本语言的普及,以及Web技术发展初期对安全问题认知的不足导致很多“血案”的发生,同时也遗留下很多历史问题,比如PHP语言至今仍然只能靠较好的代码规范来保证没有文件包含漏洞,而无法从语言本身杜绝此类安全问题的发生。
转载
2021-04-07 13:41:30
530阅读
2评论
Web安全是一个系统性工程,从架构到编码,从前端到服务器。一、前端1、跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。跨域(或者叫跨站),应该怎么...
转载
2017-04-24 22:49:00
147阅读
Web安全实验二 姓名 班级 实验内容:Fiddler抓包实验 实验步骤:根据文件2.1展开实验,记录实验结果与分析。 实验一:Fiddler 修改User-Agent ,伪装客户端。 仿造实验一,模拟手机访问其他网站。将实验步骤记录下来,结果截图保存。 实验二:Fiddler 修改HTTP 请求。 ...
转载
2021-09-30 08:40:00
157阅读
2评论
web安全介绍
原创
2022-05-27 18:55:00
247阅读
到处浏览所有apache用户可以访问的文件和目录锁定php模块可以访问的范围(笼环境)<VirtualHost *:8082> DocumentRoot /share/1310 ServerName 10.1.1.21 ErrorLog logs/10.1.1.21-error_log CustomLog logs/10.1.1.21-access_log common<
原创
2013-10-21 17:03:44
573阅读
Web安全是一个系统性工程,从架构到编码,从前端到
原创
2022-08-15 14:12:48
101阅读
XSSXSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。我把所有用户输入进行 HTML 转义输出是个不错的做法。似乎很多 Web 开发框架、模版引擎的开发者也发现了这一点,
转载
2019-03-21 15:45:00
374阅读
nmap 下载地址https://nmap.org/download.html 美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重、最广泛、危害性最大的安全问题。如华为、RSA、赛门铁克、联想ThinkPad、绿盟、启明星辰、东软、Citrix思杰、安域领创等都开发了自己的Web漏洞扫描程序、 1.Nikto(免费产品)
转载
2016-11-06 17:31:43
351阅读
据说现在一台pc(Windows系统)上网的时候,如果没有任何杀毒软件防火墙,那么十分钟之内就会被沦陷为病毒之城。为什么会如此呢?因为你上网的时候,可能有的网站会被植入病毒,植入木马什么的,网站的用户只要一登陆,如果没有任何防护措施,那么你的机器肯定会马上被攻陷了。当然了,网站也不是故意要挂病毒和木马给用户的,主
推荐
原创
2008-08-08 14:19:28
3266阅读
2评论
来源:http://www.cnblogs.com/happyframework 背景说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。本文不涉及 IIS、Wind...
转载
2021-08-18 11:50:43
478阅读
信息安全之Web安全 如何改变网页上的标签 眼见不一定为真,就算是某正牌的官网,所发布的消息也一定要核实。 下面演示一下如何更改网页上的内容。 首先右击鼠标,选择“检查”,在一下任务栏中,我们可以查看和改变网页上的内容。(红框内都是更改后的信息) Element:主要是用来调试网页中的html标签代
转载
2020-06-09 17:54:00
530阅读
2评论
背景说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获
原创
2021-07-21 15:43:02
472阅读
Apache Web安全 我们大家都知道在自己浏览器访问网页的时候,我们用的是 http协议,如输入:www.baidu.com我们的浏览器默认发出的请求是http://www.baidu.com。http协议是一种超文本传输协议,基于ip/tcp的tcp协议之上的协议,我们可以用http协议来访问我们想去的网站,想看的资料,这一切都是没有问题的,但是随着网络的发展我
原创
2013-08-27 10:55:36
475阅读
CSP 全名 内容安全策略(Content Security Policy)主要用来防御:XSSCSP 基本思路定义外部内容引用的白名单例如页面中有个按钮,执行的动作源于 http://a.com/x.js,但如果被攻击的话,有可能执行的是 http://b.com/x.js浏览器可以下载并执行任意js请求,而不论其来源CSP 的作用就是创建一个可信来源的白名单,使得浏览器只执行来自这些来源的资源
原创
2021-04-23 15:57:39
434阅读
前言本章将主要介绍使用Node.js开发web应用可能面临的安全问题,读者通过阅读本章可以了解web安全的基
原创
2021-07-30 10:23:22
249阅读
目录一、Web应用基础1、Web应用的基本概念2. Web应用系统的体系架构3. Web应用系统安全的突破点二、浏览器所面临的安全威胁1. XSS跨站脚本攻击2. 跨站请求伪造(CSRF)3. 网页挂马4. 网络钓鱼三、养成良好的Web浏览安全意识1. 为什么要养成良好的Web浏览安全意识2. 怎样养成良好的Web浏览安全意识四、如何安全使用浏览器1. 清除浏览数据
原创
2021-10-08 16:02:07
10000+阅读
最近项目在做测试工具都是破解版的Fortify , Burp Suite, 据说集团买的正版的100w... 一哥们说公司的项目bug代码与正常代码已经达到了1.5:1, 前5年写的代码接下来的5年也改不完...心想太扯淡了. 安全 越来越受重视, 代码的功能只能算作工程的一部分了, 可丁可卯四
转载
2018-10-10 21:52:00
111阅读
2评论
一、学习思维 1.学习前后端的基础 (HTML、js、PHP、SQL、python编程) 2.由浅入深的系统性学习渗透流程 (获取密码、权限..) 3.掌握主流网站漏洞的原理、利用方 (注入、跨站、读取、越权、上传、请求伪造) 4.学习漏洞挖掘思维方法、针对选定目标开始漏洞挖掘训练 二、安全基本功 ...
转载
2021-09-09 22:15:00
76阅读
伤心往事 梦回大二,那时候沉迷于毒
原创
2023-07-13 18:14:59
0阅读
