XSSXSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。我把所有用户输入进行 HTML 转义输出是个不错的做法。似乎很多 Web 开发框架、模版引擎的开发者也发现了这一点,
转载
2019-03-21 15:45:00
387阅读
nmap 下载地址https://nmap.org/download.html 美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重、最广泛、危害性最大的安全问题。如华为、RSA、赛门铁克、联想ThinkPad、绿盟、启明星辰、东软、Citrix思杰、安域领创等都开发了自己的Web漏洞扫描程序、 1.Nikto(免费产品)
转载
2016-11-06 17:31:43
365阅读
到处浏览所有apache用户可以访问的文件和目录锁定php模块可以访问的范围(笼环境)<VirtualHost *:8082> DocumentRoot /share/1310 ServerName 10.1.1.21 ErrorLog logs/10.1.1.21-error_log CustomLog logs/10.1.1.21-access_log common<
原创
2013-10-21 17:03:44
642阅读
Web安全是一个系统性工程,从架构到编码,从前端到
原创
2022-08-15 14:12:48
104阅读
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站VIP会员密码泄露大多就是通过Web表单递
原创
2013-02-28 12:38:14
625阅读
Web安全1.Web安全的兴起Web攻击技术的发展也可以分为几个阶段。Web1.0时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本上传到服务器上,从而获得权限。动态脚本语言的普及,以及Web技术发展初期对安全问题认知的不足导致很多“血案”的发生,同时也遗留下很多历史问题,比如PHP语言至今仍然只能靠较好的代码规范来保证没有文件包含漏洞,而无法从语言本身杜绝此类安全问题的发生。
转载
2021-04-07 13:41:30
587阅读
2评论
Web安全是一个系统性工程,从架构到编码,从前端到服务器。一、前端1、跨站脚本攻击(XSS) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。跨域(或者叫跨站),应该怎么...
转载
2017-04-24 22:49:00
165阅读
Web安全实验二 姓名 班级 实验内容:Fiddler抓包实验 实验步骤:根据文件2.1展开实验,记录实验结果与分析。 实验一:Fiddler 修改User-Agent ,伪装客户端。 仿造实验一,模拟手机访问其他网站。将实验步骤记录下来,结果截图保存。 实验二:Fiddler 修改HTTP 请求。 ...
转载
2021-09-30 08:40:00
170阅读
2评论
web安全介绍
原创
2022-05-27 18:55:00
268阅读
据说现在一台pc(Windows系统)上网的时候,如果没有任何杀毒软件防火墙,那么十分钟之内就会被沦陷为病毒之城。为什么会如此呢?因为你上网的时候,可能有的网站会被植入病毒,植入木马什么的,网站的用户只要一登陆,如果没有任何防护措施,那么你的机器肯定会马上被攻陷了。当然了,网站也不是故意要挂病毒和木马给用户的,主
推荐
原创
2008-08-08 14:19:28
3316阅读
2评论
背景说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获
原创
2021-07-21 15:43:02
503阅读
从技术到安全, 这是一个趋势. 以前追求的是比较炫酷的技术, 等实现过后发现, 自己还能做什么. 炫技完了之后,差不多就该到悟道的时候了. 用户安全, 就是一个很大的禅. 苹果拒绝 FBI, google拒绝 替换 Michelle 图片。 这些都是保障用户安全性的一个重要示范. 而, 网页安全又是一个巨坑
转载
2016-04-06 21:08:00
106阅读
安全测试
转载
2019-07-19 10:32:32
959阅读
1评论
浏览器安全可分为三大块——Web页面安全、浏览器网络安全和浏览器系统安全。这里是Web页面安全。一、浏览器的同源策略如果两个url协议、域名和端口都相同,那么就称这两个URL同源。浏览器默认同源的两个源之间是可以相互访问资源和操作DOM的。两个不同的源之间想要互相访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。同源策略主要表现在DOM、Web数据和网络这三个层面1、
转载
2021-01-31 11:07:32
1168阅读
2评论
1. HTTPS和HTTP区别:HTTP 明文传输,数据都是未加密的,安全性较差,HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。使用 HTTPS 协议需要到 CA(Certificate Au...
原创
2021-08-13 14:07:57
176阅读
工具下载: 一、firefox 以及 扩展插件 1、View Source Charts : https://addons.mozilla.org/en-US/firefox/addon/view-source-chart/ 2、tamper data:https://addons.mozilla.
转载
2017-01-13 00:32:00
195阅读
web安全色,就是网页安全色。 名字虽然有安全,但是和网站的安全无关。叫这个名字,是因为这些色彩在不同的显示设备和操作系统上表现基本一致。非安全色换一个OS环境,颜色就可能失真。 因为我们用的各种设备基本都是用RGB模式表示色彩,由R(红)、G(绿)、B(蓝)三原色混合成各种其它颜色。把原色按光强划
转载
2018-06-04 17:12:00
327阅读
2评论
此刻,您已向整个世界提供了您的 IP 地址。 请确保您没有同时提供对私人数据的访问权限。 您的 IP 地址是公共的访问因特网是要冒安全方面的风险的。当您连到因特网后,IP地址被用来识别您的 PC。假如您不加防范,外部世界会利用这个 IP 地址(非法)访问您的计算机。 固定的 IP 地址要冒更大的风险。假如您正在使用拨号连接的 modem,那么每当您连到因特网上时就会获得一个新的 IP 地
转载
2023-06-27 00:42:16
95阅读
Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。那么,Token有什么作用?又是什么原理呢?Token一般用在两个地方:1)防止表单重复提交、2)anti csrf攻击(跨站点请求伪造)。两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中,然后将Token发给客户端
原创
2017-03-20 22:34:22
1754阅读
过去,我写过一两个Web Api,没有任何身份校验和安全措施,随便在浏览器中输入地址就能访问,谁都可以。无
原创
2022-08-15 14:13:36
134阅读
