第3章跨站脚本攻击(xss)3.1xss简介恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS攻击:跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。故将..
分类:
Web程序 时间:
2016-10-09 00:50:43
阅读次数:
259
第7章注入攻击SQL注入的两个条件:1,用户可以控制输入;2,原本执行的SQL语句并接了用户输入的数据。7.1sql注入SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大..
分类:
Web程序 时间:
2016-10-09 00:49:24
阅读次数:
198
第8章文件上传漏洞8.1文件上传漏洞概述文件上传漏洞是指用户上传一个可执行的脚本文件,并通过此脚本文件活动执行服务器端的能力。原理:由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件。文件..
分类:
Web程序 时间:
2016-10-09 00:49:14
阅读次数:
193
第9章认证与会话管理9.1whoami?认证包含了身份和身份认证两层含义。q身份—我是谁?q身份认证—这就是我。认证的目的就是为了认出用户是谁?而授权的目的是为了决定用户能够做什么。认证实际上就是一个验证凭证的过程。9.2密码的那些事儿一般为了安全与用户体验性,采用“双因..
分类:
Web程序 时间:
2016-10-09 00:49:00
阅读次数:
889
第6章HTML5安全6.1HTML5新标签6.1.1新标签的XSSHTML5定义了新的标签、新的事件,这就有可能带来新的XSS攻击。所以黑白名单需要时常更新。6.1.2iframe的sandboxiframe的sandbox属性,就是html5安全中很重要的组成部分部分。于此同时还带来了一个新的mime类型,text-html/sandbox..
分类:
Web程序 时间:
2016-10-09 00:48:56
阅读次数:
215
第5章点击劫持(clickjacking)5.1什么是点击劫持点击劫持是一种视觉上的欺骗手段。是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。主要特征q点击劫持是一种恶意攻击技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常..
分类:
Web程序 时间:
2016-10-09 00:48:11
阅读次数:
175
第4章跨站点请求伪造(CSRF)4.1CSRF简介CSRF(Cross-siterequestforgery跨站请求伪造,也被称为“oneclickattack”或者sessionriding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputyattack)。4.2CSRF进阶浏览器..
分类:
Web程序 时间:
2016-10-09 00:48:02
阅读次数:
182
第11章加密算法与随机数11.1概述攻击密码系统的方法密码分析者攻击密码系统的方法主要有以下三种:(1)穷举攻击所谓穷举攻击是指密码分析者采用依次试遍所有可能的密钥对所获密文进行解密,直至得到正确的明文.(2)统计分析攻击所谓统计分析攻击就是指密码分析者通过分析密文..
分类:
编程语言 时间:
2016-10-09 00:46:52
阅读次数:
291
第10章访问控制10.1whatcanido?权限控制是值某个主体(身份)对某一个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。在一个安全系统中,确定主题的身份是“认证”解决的问题;而客体是胭脂红资源,是主题发起的请求对象。在主体对客体进行操作的过程,系统控制主..
分类:
Web程序 时间:
2016-10-09 00:46:37
阅读次数:
158
第12章WEB框架安全12.1MVC框架安全在Spring框架中可以使用springsecurity来增加系统的安全性。12.2模板引擎与XSS防御12.3WEB框架与CSRF防御在MVC中防御CSRF:q在Session中绑定token。如果不能保存到数据库中的Session,则使用Cookie.q在form表单中自动填写token字段q在Ajax请求..
分类:
Web程序 时间:
2016-10-09 00:46:12
阅读次数:
150
