Web 安全的对于 Web 从业人员来说是一个非常重要的课题 , 所以在这里总结一下 Web 相关的安全知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的attack的类型以及防御的方法。也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。
本文代码 Demo 都是基于
原创
2023-09-03 21:21:44
197阅读
点赞
1.web安全常见攻击手段
xss sql注入 防盗链 csrf 上传漏洞
2. 信息加密与漏洞扫描
对称加密 非对称加密
3. 互联网API接口安全设计
4. 网站安全漏洞扫描与抓包分析
5. Https协议底层原理分析
6.电子商务风控与黑名单和白名单系统
7. 基于多种手打尽防御DDS攻击
通过抓包分析工具 拿到token 获取令牌。
上传漏洞 如果有个 不良脚
转载
2018-11-21 18:38:00
280阅读
2评论
命令执行漏洞
一般查看home目录,挖掘用户信息:ls -alh /home查看具体用户的目录:ls -alh /home/用户名/查看系统信息:uname -a
利用ssh命令执行root权限命令使用ssh 用户名@localhost通过ssh登录服务器是不需要身份验证的;比如查看bill用户sudo命令的权限:ssh bill@localhost sudo -lubuntu自带防火墙,所以关
原创
2021-09-14 14:44:54
647阅读
1. SQL 注入SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。原因当使用外部不可信任的数据作为参数进行数据库的增、删、改、查时,如果未对外部数据进行过滤,就会产生 SQL 注入漏洞。比如:name ="外部输入名称";sql = "select * fr
原创
2022-08-01 23:22:37
427阅读
http://bbs.ichunqiu.com/thread-9236-1-1.html?from=51ctobaibai社区:i春秋 时间:2016年8月4日10:30:00 作者:LoneliNess 前言 &n
转载
精选
2016-08-04 13:34:30
963阅读
什么是目录遍历第一次接触到目录遍历漏洞还是在 ThinkJS 2 的时候。代码如下图,目的是当用户访问的 URL 是静态资源的时候返回静态资源的地址。其中 pathname 就是用户访问的 URL 中的路径,我们发现代码中只是简单的解码之后就在22行将其与资源目录做了拼接,这就是非常明显的目录遍历漏洞了。为什么这么说呢?假设用户访问的 URL 是 http://xxx.com/../../../x
原创
2021-05-19 09:25:21
1396阅读
文件上传漏洞及危害 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序执行这个上传文件导致安全漏洞。大部分网站都会有文件上传的功能,例如头像、图片、视频等,这块的逻辑如果处理不当,很容易触发服务器漏洞。这种漏洞在以文件名为 UR
转载
2020-12-09 20:06:00
119阅读
SQL注入 未对用户输入进行检查,使得用户输入可以执行SQL语句 SQL注入可以分为报错注入,Union注入,时间盲注,布尔盲注,堆叠注入等。 注入步骤: graph LR 寻找注入点--> 判断注入类型--> 猜解数据库名--> 猜解数据表名--> 猜解数据字段名 威胁 猜解后台数据库,盗取网站的 ...
转载
2021-09-12 23:50:00
458阅读
2评论
一. 实验目的 (1)掌握网络漏洞扫描的原理和方法 (2)复习Nmap的使用命令和kali的使用 (3)学习开源扫描工具
一、什么是Web漏洞扫描工具即是指“扫描Web应用以查找安全漏洞(如跨站脚本,SQL注入,命令执行,目录遍历和不安全服务器配置)的自动化工具”,其中许多可能是由不安全或不正确的编码和设计。另一方面,通用(网络或系统)扫描器可以识别开放端口,主动IP地址和登录,主机操作系统和软件类型,修订版本和修补程序级别以及运行的服务。二、漏洞扫描主要策略1.主机漏洞扫描:通常在目标系统上安装了一个代理或是服务以
转载
2024-01-09 19:38:49
21阅读
昨天安全组给我发来一条提示 说elasticsearch 有安全漏洞,可以通过浏览器执行服务器上的任何脚本,一听吓一跳 还好我的es只针对内网开放,赶紧测试是否存在,结果还真是如此,我的/etc/hosts 和 /etc/passwd 文件内容一览无遗,赶紧改吧!按照安全组要求 在 /etc/elasticsearch/elasticsearch.yml 里面添加一条script.d
原创
2014-05-20 17:56:55
8625阅读
要避免创建Context.MODE_WORLD_READABLE和Context.MODE_WORLD_WRITEABL的文件。因为它们
原创
2022-08-03 10:31:54
139阅读
Web服务器存在的主要漏洞包括物理路径泄露,CGI源代码泄露,目录遍历,执行任意命令,缓冲区溢出,拒绝服务,SQL注入,条件竞争和跨站脚本执行漏洞,和CGI漏洞有些相似的地方,但是更多的地方还是有着本质的不同。不过无论是什么漏洞,都体现着安全是一个整体的真理,考虑Web服务器的安全性,必须要考虑到与之相配合的操作系统。
◆物理路径泄露
物理路径泄露一般是由于Web服务器处理用户请求
转载
2009-08-24 14:04:09
646阅读
网络安全的核心目标是保障业务系统的可持续性和数据的安全性,而这两点的主要威胁来自于蠕虫的暴发、黑客的攻击、拒绝服务攻击、木马。蠕虫、黑客攻击问题都和漏洞紧密联系在一起,一旦有重大安全漏洞出现,整个互联网就会面临一次重大挑战。
转载
2008-07-02 10:56:48
482阅读
当A S P以其灵活、简单、实用、强大的特性迅速风靡全球网站的时候,其本身的一些缺陷、漏洞也正威胁着所有的网站开发者。所有的A S P应用程序开发者应密切关注,提高警惕。微软再次被指责对其出品的 We b服务器软件的安全问题不加重视。在微软的流行产品 I I SS e v e r 4 . 0中发现存在一种被称为“非法H T R请求”的缺陷。据微软称,此缺陷在特定情况下会导致任意代码都可以在服务器端
转载
精选
2009-04-09 14:39:56
837阅读
https://tomcat.apache.org/security-10.htmlhttps://tomcat.apache.org/security-9.htmlhttps://tomcat.apache.org/security-8.htmlhttps://tomcat.apache.org/security-7.html
原创
2021-08-25 10:32:22
453阅读
https://tomcat.apache.org/security-10.htmlhttps://tomcat.apache.org/security-9.htmlhttps://tomcat.apache.org/security-8.htmlhttps://tomcat.apache.org/security-7.html
原创
2022-02-15 17:32:21
186阅读
