1,认证 需要登录帐号的角色 2,授权 帐号的角色的操作范围 3,避免未经授权页面直接可以访问 使用绝对url(PS:绝对ur可以通过httpwatch监控每一个请求,获取请求对应的页面),登录后台的每个页面 3,session和cookie sessioid- cookie欺骗 避免保存敏感信息到 ...
分类:
Web程序 时间:
2019-10-27 10:42:48
阅读次数:
115
1.跨站攻击含义 XSS:(Cross-site scripting)全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他 ...
分类:
Web程序 时间:
2019-10-27 10:28:40
阅读次数:
131
目录 第1章 了解Web及网络基础 1.7 URI和URL 第2章 简单的HTTP协议 第3章 HTTP报文内的HTTP信息 第4章 返回结果的HTTP状态码 第5章 与HTTP写作的Web服务器 第6章 HTTP首部 第7章 确保 Web 安全的HTTPS 第 8 章 确认访问用户身份的认证 0 ...
分类:
Web程序 时间:
2019-10-24 11:53:01
阅读次数:
105
HTTP 通信时,除客户端和服务器外,还有一些用于协助通信的应用程序。如下列出比较重要的几个: 代理、缓存、网关、隧道、Agent 代理 。 1.代理 代理 HTTP 代理服务器是 Web 安全、应用集成以及性能优化的重要组成模块。代理位于客户端和服务器端之间,接收客户端所有的 HTTP 请求,并将 ...
分类:
Web程序 时间:
2019-10-22 22:01:56
阅读次数:
140
不夸张的说,网络安全行业里,WEB安全方向的人相对来说决定占大头,而web安全工程师又是其中不可缺少,想要成为一名成功的web安全工程师,首先要知道绝对的职位要求,话不多说,网上截两段。 1、熟悉常见Windows&linux、Web应用和数据库各种攻击手段; 2、熟悉网络安全测试方法、测试用例、漏 ...
分类:
其他好文 时间:
2019-10-18 15:52:59
阅读次数:
93
SEO经验做不同的行业,做很多的站,多观察流量变化,检索词,收录比例,收录时间,排名情况,点击率,竞争对手数据。你会总结出一套对网站SEO的认识。可以解决如下问题,这个行业一共有多少SEO流量,我能拿多少,我应该做哪些内容,页面应该如何设计,链接应当怎么部署,这些内容从哪来,这些内容有什么价值,需要多少时间才能做上去等等。这类数据以及从数据中提取的经验是非常核心的东西,毕竟搜索引擎的算法不公开,并
分类:
其他好文 时间:
2019-10-17 15:39:48
阅读次数:
86
Web安全测试检查点 上传功能 1.绕过文件上传检查功能 2.上传文件大小和次数限制 注册功能 1.注册请求是否安全传输 2.注册时密码复杂度是否后台检验 3.激活链接测试 4.重复注册 5.批量注册问题 登录功能 1.登录请求是否安全传输 2.会话固定:Session fixation attac ...
分类:
Web程序 时间:
2019-10-06 13:08:56
阅读次数:
549
0x01 简介 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景。 0x02 功能 伪造指定ip 伪造本地ip 伪造随机ip 随机ip爆破 0x03 安装与使用 安装 下载fakeIP.py:https://github.com ...
分类:
Web程序 时间:
2019-10-04 16:58:02
阅读次数:
1007
常见漏洞 sql注入 原理:SQL注入攻击是通过将恶意的SQL查询语句插入到应用的输入参数中,欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 分类: 1、注入类型:字符型, 数字型 2、提交方式:GET ,POST, COOKIE 3、获取信息的方式:基于报错,盲注,基于回显 防 ...
分类:
Web程序 时间:
2019-09-30 14:41:05
阅读次数:
125
sql注入 代码直接用参数拼接sql,导致和union、=等恶意sql拼接成为非法sql,导致返回敏感数据或者返回成功 措施 参数进行base64编码 参数化查询 使用存储过程 stack overflow C、C++中,可以通过指针、scanf等内存操作直接操作内存,因此如果不做参数检查,就有可能 ...
分类:
Web程序 时间:
2019-09-28 17:49:36
阅读次数:
122
