- 综合排序
- 最热优先
- 最新优先
- 来自专栏IMWeb前端团队
从零开始学web安全(4)
本文作者:IMWeb 刘志龙 原文出处:IMWeb社区 未经同意,禁止转载 忙忙忙,最近事情实在有点多,赶在月底写一下系列4。 前面3个文章简单介绍了xss,后面还会继续对xss进行研究。 CSRF 是什么 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 所以说,post不是王道,但在这里比get毫无疑问要更安全。 防范 说了那么多,我写一篇文章被删一篇,难道我以后就不能写文章啦? 管理员这时候怒了,决定亮出自己三张王牌。
965110发布于 2018-01-08 - 来自专栏IMWeb前端团队
从零开始学web安全(4)
本文作者:IMWeb 刘志龙 原文出处:IMWeb社区 未经同意,禁止转载 忙忙忙,最近事情实在有点多,赶在月底写一下系列4。 前面3个文章简单介绍了xss,后面还会继续对xss进行研究。 CSRF 是什么 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 所以说,post不是王道,但在这里比get毫无疑问要更安全。 防范 说了那么多,我写一篇文章被删一篇,难道我以后就不能写文章啦? 管理员这时候怒了,决定亮出自己三张王牌。
48410发布于 2019-12-04 - 来自专栏红日安全
Web安全Day4 - SSRF实战攻防
本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。 此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。 对于不同语言实现的web系统可以使用的协议也存在不同的差异,其中: php: http、https、file、gopher、phar、dict、ftp、ssh、telnet... java: http、 4. set $10 dbfilename $4 root *1 $4 save *1 $4 quit 来自:https://joychou.org/web/phpssrf.html 其中$61为我的vps
2.6K50发布于 2020-02-20 - 来自专栏渗透测试专栏
渗透测试web安全综述(4)——OWASP Top 10安全风险与防护
OWASP Top 10 OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)是一个在线社区,开源的、非盈利的全球性安全组织,主要在Web OWASP Top 10列出了公认的最有威胁性的Web应用安全洞,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞。 如果无法实现这些控制,请考虑使用虚拟修复程序API安全网关或Web应用程序防火墙(WAF)来检测、监控和防止XXE攻击。 失效的访问控制 未对通过身份验证的用户实施恰当的访问控制。 禁用 Web服务器目录列表,并确保文件元数据(如:git)不存在于 Web的根目录中。 记录失败的访问控制,并在适当时向管理员告警(如:重复故障)。 这包括:OS、Web服务器、应用程序服务器、数据库管理系统(DBMS)、应用程序、API和所有的组件、运行环境和库。 不定期做漏洞扫描和订阅你使用组件的安全公告。
3.2K20编辑于 2024-09-27 - 来自专栏全栈程序员必看
web安全概述_网络安全和web安全
id=1721098433786504052&wfr=spider&for=pc WEB 常见的脚本语言类型有哪些? asp,php,aspx,jsp,javaweb,pl,py,cgi 等 WEB 的组成架构模型? windows linux 中间件(搭建平台):apache iis tomcat nginx 等 数据库:access mysql mssql oracle sybase db2 postsql 等 WEB 相关安全漏洞 WEB 源码类对应漏洞 SQL 注入,上传,XSS,代码执行,变量覆盖,逻辑漏洞,反序列化等 WEB 中间件对应漏洞,WEB 数据库对应漏洞,WEB 系统层对应漏洞,其他第三方对应漏洞 后门在安全测试中的实际意义? 关于后门需要了解那些?(玩法,免杀) 版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
1.6K30编辑于 2022-11-05 - 来自专栏问问计算机
WEB安全
随着技术的不断发展,应用安全会逐渐在各个领域扮演越来越重要的角色。 /Glossary.html) 这个可以为我们了解应用安全的方向找到一个切口。 下面几个日常相对常见的几种安全漏洞: SQL盲注 在appscan中对SQL盲注的解释是:可能会查看、修改或删除数据库条目和表,如下图: appscan中提供的了保护 Web 应用程序免遭 SQL 应避免不安全值,如‘*’、‘data:’、‘unsafe-inline’或‘unsafe-eval’。 应避免不安全值,如‘*’或‘data:’。
2.3K20发布于 2021-09-03 - 来自专栏epoos.com
Web安全
攻击者想尽一切办法,在网站上注入恶意脚本,使之在用户的浏览器上运行,当用户访问该网站的时候浏览器执行该脚本 攻击者可通过恶意脚本的执行窃取用户的Session、Cookie等敏感信息,进而危害数据安全。 4、设置CSP的安全策略 1)通过meta标签设置 <meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src '; let clean = DOMPurify.sanitize(dirty); 相关链接 [xss维基百科]https://zh.m.wikipedia.org/zh-hans/跨網站指令碼 内容<em>安全</em>策略
1.2K20编辑于 2022-06-06 - 来自专栏只喝牛奶的杀手
web安全
随着业务的需要,大数据项目以及大型项目业务越来越多的研发上线,网络知识的普及和频发的安全事件也使客户及业务方对网络安全性要求越来越高,安全测试除了常规的白盒自动化代码扫描外,很多功能、逻辑判断上的安全隐患在目前是无法很清晰的做到自动化分析 ,这个时候需要一定黑盒及手工方法来做深入的安全测试。 好多企业不想为安全买单……,但是码代码的你会考虑基本的安全吗? 4、控制台 ①水平权限。这个漏洞在云项目控制台类页面较为常见,遍历用户或者业务ID等方法可以进行越权查看及操作。 ②csrf。 希望每个小伙伴告别理想化编程,做一个有安全意识的工程师!周末愉快! 你对安全重视吗?
1.3K10发布于 2019-09-02 - 来自专栏epoos.com
Web安全
通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 按照约定规则生成令牌,发起请求的时候服务端对令牌进行校验,校验不通过则不处理该请求 3.双重校验机制,在请求中的非cookie位置额外跟服务端约定一个token校验项,让攻击者无法获得该token来防止攻击 4.
1K10编辑于 2022-06-06 - 来自专栏渗透测试专栏
渗透测试web安全综述(2)——Web安全概述
黄金时代 以2001年4月4日开始的“中美黑客大战”作为标志,在这个背景下,黑客这个特殊的群体一下子几乎引起了社会的所有眼球。此次黑客大战主要在各自的互联网上植入一些出气的文章和页面。 Web安全发展 在早期互联网中,Web并非互联网的主流应用。一方面是因为Web技术还没发展起来,不够成熟;另一方面通过系统软件漏洞往往能获得很高的权限。 SQL注入的出现是Web安全史上的一个里程碑,它最早出现大概是1999年,并很快就成为Web安全的头号大敌。就如同缓冲区溢出出现时一样,程序员们不得不日以继夜地去修改程序中存在的漏洞。 SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。 XSS(跨站脚本攻击)的出现则是Web安全史上的另一个里程碑。 同时,Web安全技术,也将紧跟着互联网发展的脚步,不断地演化出新的变化。
72820编辑于 2024-09-27 - 来自专栏java思维导图
安全:Web 安全学习笔记
背景 ---- 说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高 ,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。 最简单的 Web 物理架构 ---- ? Web 软件安全攻击防护 ---- 一、浏览器安全攻击 Cookie 假冒 ? 慎重的选择代理服务器 使用安全的传输协议,如:SSL
1.8K31发布于 2019-05-13 - 来自专栏性能与架构
web安全 - CSP
CSP 全名 内容安全策略(Content Security Policy) 主要用来防御:XSS CSP 基本思路 定义外部内容引用的白名单 例如 页面中有个按钮,执行的动作源于 http:
2.1K70发布于 2018-04-03 - 来自专栏乱码李
Web 安全学习
去年一家专门做企业安全的公司来我们公司做测试和培训,经过他们一周多的测试,找到了公司多个项目中存在的很多问题,惊奇地发现,我们组的前端项目竟然没有发现一个漏洞。 而我对安全方面可以说是没有多少积累,最近抽时间学习一下 web 安全相关的知识。 如果当前用户具有管理员权限的话,CSRF 攻击将危及到整个 Web 应用程序。与 XSS 相比,XSS 是利用用户对指定网站的信任,CSRF 是利用网站对用户浏览器的信任。 参考资料 跨站脚本 常见 Web 安全攻防总结 跨站请求伪造 拒绝服务攻击
99820发布于 2021-11-26 - 来自专栏阿杜的世界
Web应用安全
二、认证与授权 Web容器进行认证与授权的过程: 客户端:浏览器向容器请求一个web资源发出请求; 服务端:容器接受到请求时,容器在“安全表”中查找URL(安全表存储在容器中,用于保存安全信息),如果在安全表中查找到 如果不匹配则再次返回401; 如果匹配,说明认证通过,则接着检查这个用户的权限,容器会查看这个用户指派的“角色”是否允许访问这个资源(即授权),如果授权成功,则把这个资源返回给客户端; 三、实施web安全 安全概念 谁负责? clickjacking、cross site request forgery等等 支持与Servlet API集成 支持与Spring MVC集成,但不限于此 这里我从Spring Guides找到了一个在web 应用中使用Spring Security保护资源的例子——securing-web demo,我自己试验做了一遍,建议读者也跟着自己实现一遍,加深理解。
2.4K30发布于 2018-08-06 - 来自专栏PHP在线
Web安全实战
前言 本章将主要介绍使用Node.js开发web应用可能面临的安全问题,读者通过阅读本章可以了解web安全的基本概念,并且通过各种防御措施抵御一些常规的恶意攻击,搭建一个安全的web站点。 什么是web安全 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,我们作为网站开发者,必须让一个web站点满足基本的安全三要素: (1)机密性,要求保护数据内容不能泄露,加密是实现机密性的常用手段 安全的定义和意识 web安全的定义根据攻击手段来分,我们把它分为如下两类: (1)服务安全,确保网络设备的安全运行,提供有效的网络服务。 Node.js中的web安全 Node.js作为一门新型的开发语言,很多开发者都会用它来快速搭建web站点,期间随着版本号的更替也修复了不少漏洞。 现在让我们看一下这个漏洞造成的杀伤力吧,我们在一台4cpu,4G内存的服务器上启动一个Node.js的HTTP服务,Node.js版本为0.10.7。
1.9K100发布于 2018-03-08 - 来自专栏网络攻防实战知识交流
Web安全(一)
从今天开始,就和大家介绍一些关于web安全的相关知识,作为一枚十足的多菜鸡,学习web的经验就是多看,多写,多实践,可能会很low,也可能是机械的重复着别人在做的事情,也可能自己理解也很浅显,但是不管怎么样 关于Web渗透入门,无极君有话要讲。很多人都会直接问,关于安全,学习渗透,打CTF比赛怎么学,从哪入手,如何开始。 讲真,对于这问题,我真的不知道怎么回答,因为毕竟web 这个概念太宽泛,我通常都会引导一提问的人,从搭建环境开始,来真实的感受一下什么是漏洞,什么是攻击,什么是渗透,对web安全有一个模糊的概念之后,再去有针对性的去补一些基础知识 ,按照中国的传统教育思维来说,讲web安全首先要讲讲什么机密,完整 可用三个特性,其次再讲什么是web,吧啦吧啦的一堆没鸟用的东西,我们无极的第一课,不会去讲web的哪个漏洞,学什么编程语言,给大家推荐一门教程 ,网上的师傅录的,看看别人怎么搭建的环境,想学的同学也可以跟着一起操作,看看一套攻击完整的流程是什么,看不懂没有关系 里面涉及到的知识以后会学,这是关于web安全知识,以下是视频部分截图。
1K20发布于 2019-07-25 - 来自专栏句小芒的学习专栏
Web安全笔记
Web安全笔记 SQL注入 说明:将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 防范: 对输入字符进行严格验证,
89920编辑于 2022-12-29 - 来自专栏clz
Web开发安全
Web 开发安全 参加字节跳动的青训营时写的笔记。这部分是刘宇晨老师讲的课。 1. 注入攻击 injection 3.1 SQL 注入 demo 4. Dos 通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而引起雪崩效应。 (出自阮一峰的网络日志) 协议相同 域名相同 端口相同 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 2.2.2 CSP CSP(Content Security Policy):内容安全策略 决定好哪些源(域名)是安全的 来自安全源的脚本可以执行,否则直接报错 对于 eval / inline script 2.2.4 SameSite Cookie 避免用户信息被携带 下面的部分参考自Cookie 的 SameSite 属性 Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险
1.4K20编辑于 2023-01-02 - 来自专栏WebJ2EE
【WEB安全】:CSRF
<form method="POST" action="https://mail.google.com/mail/h/ewt1jmuj<em>4</em>ddv/? 但是这个请求来自 hacker 而非 xiaoming,他不能通过<em>安全</em>认证,因此该请求不会起作用。 <a/> <em>4</em>. CSRF 攻击的对象 在讨论如何抵御 CSRF 之前,先要明确 CSRF 攻击的对象,也就是要保护的对象。 防护策略 CSRF 通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对 CSRF 的防护能力来提升<em>安全</em>性。 /same-site-cookie-attribute-prevent-cross-site-request-forgery/ 前端<em>安全</em>系列(二):如何防止CSRF攻击?
1.1K20发布于 2020-12-16 - 来自专栏FunTester
Web安全检查
在使用成熟的框架编写Web应用程序时,有时候开发会处于永无止境的修改=>测试=>修改=>测试的状态。尽管如此,开发人员更专注于更改的功能和可视输出,而在安全性方面花费的时间却少得多。 在测试Web应用程序时,这个列表提供一个常见的几种导致安全漏洞的原因和预防办法。虽然这还远远不够全面,但是可以为测试提供一定参考。 单元测试 前面我们提到了修改=>测试=>修改=>测试的循环。 加密 太多的Web应用程序仍然允许通过非SSL连接和其他各种未加密流量进行纯文本身份验证。数据存储也不总是安全的,例如使用易破解的MD5或SHA1密码加密哈希算法存储的密码。 确保使用加密安全的TLS证书和哈希算法(建议使用加盐的SHA512),可以大大减少未经授权的数据访问的脆弱性。 Web安全扫描程序 将每个功能和每个用户操作组合起来,安全风险的可能性呈指数增长。 甚至安全团队都不可能手动验证和测试所有内容,但是好的自动Web安全扫描程序不仅可以测试漏洞,而且可以发现一些开发人员可能不会考虑的问题。 SQL注入 当然,SQL注入是最常见的安全问题。
1.5K20发布于 2020-01-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号