一、HTTPS,确保Web安全 在HTTP协议中可能存在信息窃听或身份伪装等安全问题,HTTP的不足: 1、通信使用明文可能会被窃听 HTTP本身不具有加密的功能,HTTP报文使用明文方式发送。另外TCP/IP协议的的通信机制,通信内容在所有的通信线路上都有可能遭到窥视。即使已经过加密 处理的通信, ...
分类:
Web程序 时间:
2019-09-27 01:30:47
阅读次数:
207
常见的web安全问题,原理和防范措施。 SQL注入 XSS(跨站脚本攻击, Cross-Site Scripting) CSRF(跨站请求伪造, Cross-site request forgery) 什么是SQL注入? 通过构造特殊的输入参数传入web应用,导致后端执行了恶意的SQL 通常由于程序 ...
分类:
Web程序 时间:
2019-09-27 01:27:32
阅读次数:
123
XSS定义 XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。 跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第 ...
分类:
Web程序 时间:
2019-09-17 11:05:41
阅读次数:
115
实验流程:Dashboard操作创建网络admin用户登陆dashboard界面,导航栏选择“项目-网络-网络拓扑”,显示当前环境的网络拓扑,点击创建网络创建网络,名称为“Network_web_01",并勾选”共享“,其他保持默认创建子网,名称为Subnet_web_01",网络地址192.168.11.0/24,网关ip”192.168.11.1“,其他保持默认配置”子网详
分类:
其他好文 时间:
2019-09-17 09:28:35
阅读次数:
206
VM tools:方便我们虚拟机和宿主机之间复制数据或移动文件等 安装VMtools 1、菜单栏-虚拟机-安装VM tools 将其选中 2、进入系统,在桌面位置里面有VM tools的光盘,双击进入光盘,将里面的压缩文件复制到虚拟机桌面上(或者在终端进入 /media/cdrom 将压缩包复制到桌 ...
分类:
Web程序 时间:
2019-09-11 21:27:37
阅读次数:
130
安卓开发开发规范手册V1.0 之前发布过一份 "Web安全开发规范手册V1.0" ,看到收藏文章的读者挺多,发现整理这些文档还挺有意义。 最近周末抽了些时间把之前收集关于安卓安全开发的资料也整理了一下,整理出一份安卓安全开发手册,大部分内容都是在一些博客看到各位师傅的分享。 一、manifest文件 ...
分类:
移动开发 时间:
2019-09-03 21:54:17
阅读次数:
126
0x00 简介 影响版本:4.8.0——4.8.1 本次实验采用版本:4.8.1 0x01 效果展示 payload: 0x02 漏洞分析 漏洞产生点位于:index.php文件54—67行 可以看到如果要包含文件成功,必需条件有5个: 1、不为空 2、字符串 3、不以index开头 4、不在$ta ...
分类:
Web程序 时间:
2019-09-02 17:03:21
阅读次数:
125
安全测试1_Web知识简介 接下去所有的安全测试都是本人学习安全测试的过程,随笔中会截取云课堂视频中的图片(比较生动和形象,便于理解),主要目的是方便自己以后复习和巩固! 1、Web发展阶段概述: 2、web安全我能提发展形势: 3、Web工作流程: 4、浏览器工作: 浏览器(通过域名访问)->DN ...
分类:
Web程序 时间:
2019-08-30 18:46:26
阅读次数:
92
一、XSS跨站脚本攻击 1、XSS攻击有两大步骤: (1)、攻击者提交恶意代码 (2)、浏览器执行恶意代码 2、XSS攻击的分类 根据攻击的来源,XSS攻击可以分为存储型、反射型、DOM型三种: 1、纯前端渲染,把代码和数据分割开 2、对html充分转义 1、避免使用.innerHTML、.oute ...
分类:
Web程序 时间:
2019-08-25 18:06:03
阅读次数:
222
浅析XML注入 前言前段时间学习了.net,通过更改XML让连接数据库变得更方便,简单易懂,上手无压力,便对XML注入这块挺感兴趣的,刚好学校也开了XML课程,忍不住花时间研究了一下 首先认识XML XML有两个先驱——SGML(标准通用标记语言)和HTML(超文本标记语言),这两个语言都是非常成功 ...
分类:
Web程序 时间:
2019-08-13 22:42:42
阅读次数:
129
