一、实验概述 (一)实验名称 Web安全基础。 (二)实验目的与要求 ·下载安装WebGoat,调试至可以正常使用; ·在WebGoat平台上完成不少于7个题目,要求涵盖SQL,XSS,CSRF等攻击类型; ·掌握常见的Web攻击手段的原理以及防御策略。 (三)实验原理 WebGoat是OWASP组 ...
分类:
Web程序 时间:
2020-05-27 01:10:38
阅读次数:
181
1.X-Frame-Options 如果网站可以嵌入到IFRAME元素中,则攻击者可以在社交场合设计一种情况,即受害者被指向攻击者控制的网站,该网站构成目标网站的框架。然后攻击者可以操纵受害者在目标网站上不知不觉地执行操作。即使有跨站点请求伪造保护,这种攻击也是可能的,并且被称为“clickjack ...
分类:
其他好文 时间:
2020-05-21 19:47:48
阅读次数:
66
2019 2020 2 20175306王佳烁《网络对抗技术》Exp5 信息搜集与漏洞扫描 一、实践原理 1、为什么要做信息收集 发现目标 筹备攻击行动“先发制人” 网络安全性评估“攻防对抗” 追踪攻击行为“后发制人” 优化防御策略 增强网络安全 2、 信息收集需要做什么 发现目标:对象名称和主机域 ...
分类:
其他好文 时间:
2020-04-25 20:48:43
阅读次数:
117
最近了解和调研了一些 web 安全的相关问题,其实 web 安全问题一直在我们的身边,像 XSS, CSRF, 传输中的安全问题等。并且他们并没有确定的,使我们没有后顾之忧的解决方法,我们只有不断的累积,才能使我们的应用更加安全。 ...
分类:
Web程序 时间:
2018-11-18 21:04:58
阅读次数:
199
D盾旧版: 00前言 D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置。 构造不同的测试环境,I ...
分类:
数据库 时间:
2018-06-12 13:35:10
阅读次数:
393
现在许多不同的客户端技术都可以使用XMl向业务应用程序发送消息,为了使应用程序使用自定义的XML消息,应用程序必须先去解析XML文档,并且检查XML格式是否正确。当解析器允许XML外部实体解析时,就会造成XXE漏洞,导致服务器被攻击。本期“安仔课堂”,ISEC实验室的李老师为我们详细解析XXE漏洞的 ...
分类:
其他好文 时间:
2018-03-19 16:46:03
阅读次数:
203
前言 值得庆幸的是如今开发者在构建网站时,已经开始注重安全问题了。绝大部分开发者都意识到SQL注入漏洞的存在,在本文我想与读者共同去探讨另一种与SQL数据库相关的漏洞,其危害与SQL注入不相上下,但却不太常见。接下来,我将为读者详细展示这种攻击手法,以及相应的防御策略。 注意:本文不是讲述SQL注入 ...
分类:
数据库 时间:
2017-04-23 01:00:47
阅读次数:
241
2014年12306遭遇撞库攻击,13万数据泄露;2015年乌云网上爆出网易邮箱过亿用户数据由于撞库泄露;数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁, 今天小编就和大家探讨一下如何才能够有效的防止撞库攻击。俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的。 ...
分类:
其他好文 时间:
2016-04-22 15:59:38
阅读次数:
223
CSRF攻击目录1 CSRF攻击简介 11.1 什么是CSRF 11.2 CSRF可以做什么 11.3 CSRF漏洞现状 12 CSRF的攻击原理 12.1 CSRF攻击原理 12.2 CSRF攻击实例 22.3 CSRF攻击对象 33 CSRF的防御策略 33.1 验证HTTP REFERER字....
分类:
其他好文 时间:
2016-01-06 15:54:00
阅读次数:
210
