web安全基础
web安全备忘
主机系统安全防护:防火墙控制
Web是一个分布式系统,一个站点多个主机布置,一主机布置多个站点:并发,异步,同步
主机安全配置文件修改与强化
web站点数据验证逻辑的常用技巧:功能性代码+安全性代码
web核心漏洞:用户提交任意数据
截取数据包修改请求参数,cookie,http信息头
web核心防护措施:
web实现功能:
购物(商品信息发布),社交,银行支付,资源搜索,博客,web邮件,交互论坛
常见漏洞:
不完善的身份认证逻辑
不完善的数据访问控制
SQL注入
跨站点脚本攻击用户:针对其他用户的攻击
信息泄露
核心安全机制:
处理数据与功能的访问控制:游客,会员,管理员:身份认证,会话管理(session token ,http cookie),访问控制()
处理用户输入:编码(html编码,url编码,js编码),转码,转义,特征检测,白名单(正则表达式)
处理攻击者:报告与处理运行时错误信息的展现,审计运行日志与日志记录设置
管理web应用程序功能实现逻辑
安全基础
http请求头消息:字段修改与绕过;请求方法的限制?(Apache配置文件get,post,head,trace,options,put)等请求方法的限制 Apache|Nginx配置文件的安全修改
cookie 不同语言的cookie设置属性:expires,domain,path,secure,httpOnly)php,python,java
http| https :SSL(安全套接层),TLS(传输层安全)
http验证:Basic,NTLM,Digest
网站web开发平台:java平台,ASP.NET,PHP
cookie方式: JSESEESIONID,ASPSESSSIONID(Microsoft_IIS),ASP.NET_SessionId(ASP.NET) PHPSESSID
编码方式:
- URL编码%XX(ASCI 0x20-0x7e)
- Unicode编码(%u2215)16位
- HTML编码:" ' & < > " A A(&字符实体,&#加任意字符的ASCII十进制 | s十六进制进行HTML编码) 绕过跨站脚本攻击
- Base64编码 ==结尾
- 十六进制编码:daf == 646166 cookie传送
- javascript编码
攻击过程与工具使用
信息收集:枚举应用功能+分析安全机制(前后端处理)
- burpsuit + nmap + nessus + google搜索语法
第三方组件:购物车,登录机制组件的开源代码
疑惑点
什么是厚客户端组件?Java applet,ActiveX控件,Flash
最新文章
- 卡片抽奖插件 CardShow
- glusterFS系统中文管理手册(转载)
- nodejs 访问mysql
- OpenSessionInViewFilter 的配置及作用
- 获得View的真实高度
- 20. 求阶乘序列前N项和
- .gitignore无效,不能过滤某些文件
- [OC Foundation框架 - 15] NSDate
- hdu 2546 饭卡(DP)
- Postman interceptor
- 炉石传说__multiset
- EC读书笔记系列之20:条款53、54、55
- API接口开发简述示例
- Java内部类之匿名内部类
- Javascript实现的数组降维——维度不同,怎么谈恋爱(修订版)
- re_test
- (转载)dotnet core 中文乱码 codepages
- linux中怎么查看ip地址
- LeetCode--217--存在重复元素
- 【转载】COM 组件设计与应用(四)——简单调用组件