web安全备忘

主机系统安全防护:防火墙控制

Web是一个分布式系统,一个站点多个主机布置,一主机布置多个站点:并发,异步,同步

主机安全配置文件修改与强化

web站点数据验证逻辑的常用技巧:功能性代码+安全性代码

web核心漏洞:用户提交任意数据

截取数据包修改请求参数,cookie,http信息头

web核心防护措施:

web实现功能:

购物(商品信息发布),社交,银行支付,资源搜索,博客,web邮件,交互论坛

常见漏洞:

不完善的身份认证逻辑

不完善的数据访问控制

SQL注入

跨站点脚本攻击用户:针对其他用户的攻击

信息泄露

核心安全机制:

处理数据与功能的访问控制:游客,会员,管理员:身份认证,会话管理(session token ,http cookie),访问控制()

处理用户输入:编码(html编码,url编码,js编码),转码,转义,特征检测,白名单(正则表达式)

处理攻击者:报告与处理运行时错误信息的展现,审计运行日志与日志记录设置

管理web应用程序功能实现逻辑

安全基础

http请求头消息:字段修改与绕过;请求方法的限制?(Apache配置文件get,post,head,trace,options,put)等请求方法的限制 Apache|Nginx配置文件的安全修改

cookie 不同语言的cookie设置属性:expires,domain,path,secure,httpOnly)php,python,java

http| https :SSL(安全套接层),TLS(传输层安全)

  • http验证:Basic,NTLM,Digest

  • 网站web开发平台:java平台,ASP.NET,PHP

    cookie方式: JSESEESIONID,ASPSESSSIONID(Microsoft_IIS),ASP.NET_SessionId(ASP.NET) PHPSESSID

编码方式:

  • URL编码%XX(ASCI 0x20-0x7e)
  • Unicode编码(%u2215)16位
  • HTML编码:" ' & < > " A A(&字符实体,&#加任意字符的ASCII十进制 | s十六进制进行HTML编码) 绕过跨站脚本攻击
  • Base64编码 ==结尾
  • 十六进制编码:daf == 646166 cookie传送
  • javascript编码

攻击过程与工具使用

信息收集:枚举应用功能+分析安全机制(前后端处理)

  • burpsuit + nmap + nessus + google搜索语法

第三方组件:购物车,登录机制组件的开源代码

疑惑点

什么是厚客户端组件?Java applet,ActiveX控件,Flash

web安全基础的更多相关文章

  1. Web编程基础--HTML、CSS、JavaScript 学习之课程作业“仿360极速浏览器新标签页”

    Web编程基础--HTML.CSS.JavaScript 学习之课程作业"仿360极速浏览器新标签页" 背景: 作为一个中专网站建设出身,之前总是做静态的HTML+CSS+DIV没 ...

  2. web前端基础知识及快速入门指南

    web前端基础知识及快速入门指南 做前端开发有几个月了,虽然说是几个月,但是中间断断续续的上课.考试以及其它杂七杂八的事情,到现在居然一直感觉自己虽然很多前端的知识很眼熟,却也感觉自己貌似也知识在门口 ...

  3. [置顶] 提高生产力:Web开发基础平台WebCommon的设计和实现

    Web开发中,存在着各种各样的重复性的工作.为了提高开发效率,不在当码农,我在思考和实践如何搭建一个Web开发的基础平台. Web开发基础平台的目标和功能 1.提供一套基础的开发环境,整合了常用的框架 ...

  4. 从头编写asp.net core 2.0 web api 基础框架 (5) + 使用Identity Server 4建立Authorization Server (7) 可运行前后台源码

    前台使用angular 5, 后台是asp.net core 2.0 web api + identity server 4. 从头编写asp.net core 2.0 web api 基础框架: 第 ...

  5. 20155324《网络对抗技术》web安全基础实践

    20155324<网络对抗技术>web安全基础实践 实验内容 使用webgoat进行XSS攻击.CSRF攻击.SQL注入 实验问答 SQL注入攻击原理,如何防御 ①SQL注入攻击是攻击者在 ...

  6. #WEB安全基础 : HTML/CSS | 文章索引

    本系列讲解WEB安全所需要的HTML和CSS #WEB安全基础 : HTML/CSS | 0x0 我的第一个网页 #WEB安全基础 : HTML/CSS | 0x1初识CSS #WEB安全基础 : H ...

  7. #WEB安全基础 : HTTP协议 | 文章索引

    本系列讲解WEB安全所需要的HTTP协议 #WEB安全基础 : HTTP协议 | 0x0 TCP/IP四层结构 #WEB安全基础 : HTTP协议 | 0x1 TCP/IP通信 #WEB安全基础 : ...

  8. 2017-2018-2 20155228 《网络对抗技术》 实验九:Web安全基础

    2017-2018-2 20155228 <网络对抗技术> 实验九:Web安全基础 1. 实践内容 1.1 标理解常用网络攻击技术的基本原理 1.2 在Webgoat实验环境下实践相关实验 ...

  9. 20155208徐子涵《网络对抗》Exp9 Web安全基础

    20155208徐子涵<网络对抗>Exp9 Web安全基础 实验要求 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 实验过程 最后一次了,没有选择尝试免考项目 ...

  10. 20155312 张竞予 Exp9 Web安全基础

    Exp9 Web安全基础 目录 基础问题回答 (1)SQL注入攻击原理,如何防御 (2)XSS攻击的原理,如何防御 (3)CSRF攻击原理,如何防御 实践过程记录 WebGoat准备工作 1.XSS攻 ...

随机推荐

  1. CUDA compiler driver nvcc 散点 part 1

    ▶ 参考[https://docs.nvidia.com/cuda/cuda-compiler-driver-nvcc/index.html] ▶ nvcc 预定义的宏 __NVCC__ // 编译 ...

  2. spring boot 之 错误:SpelEvaluationException: EL1008E: Property or field 'timestamp' cannot be found on object of type 'java.util.HashMap'

    这个错误我也见过很多次了,今天终于理解了其出现的原因. 错误是这样的: 2017-11-23 18:05:39.504 ERROR 4092 --- [nio-8080-exec-3] o.a.c.c ...

  3. OS与Internet

    1 操作系统 操作系统(Operating System,简称OS)是管理和控制计算机硬件与软件资源的计算机程序,是直接运行在“裸机”上的最基本的系统软件,任何其他软件都必须在操作系统的支持下才能运行 ...

  4. 用java语言构建一个网络服务器,实现客户端和服务器之间通信,实现客户端拥有独立线程,互不干扰

    服务器: 1.与客户端的交流手段多是I/O流的方式 2.对接的方式是Socket套接字,套接字通过IP地址和端口号来建立连接 3.(曾经十分影响理解的点)服务器发出的输出流的所有信息都会成为客户端的输 ...

  5. Linux命令:logout

    logout [n] 退出当前shell,给父shell返回状态码n. 参考return.

  6. MySQL InnoDB引擎B+树索引简单整理说明

    本文出处:http://www.cnblogs.com/wy123/p/7211742.html (保留出处并非什么原创作品权利,本人拙作还远远达不到,仅仅是为了链接到原文,因为后续对可能存在的一些错 ...

  7. wget 网站扒取

    wget --mirror --page-requisites --adjust-extension --no-parent --convert-links  http://target.com

  8. selenium-java,selenium安装配置

    准备材料 1.java jdk http://www.oracle.com/technetwork/java/javase/downloads/index.html 2.开发工具 https://ww ...

  9. 两种序列化的方法 Serializable Parcelable

    原文:https://blog.csdn.net/hacker_crazy/article/details/80840868 一.Serializable 1.Serializable 是java的序 ...

  10. vue 根据接口返回的状态码判断用户登录状态并跳转登录页,登录后回到上一个页面(http拦截器)

    背景:后台接口返回code==501表示用户是未登录状态,需要登录才可访问: 通过http拦截做路由跳转 第一步:src目录下新建http.js文件,内容如下: import Axios from ' ...