安全与加密 无论是开发Web应用的开发者还是企图利用Web应用漏洞的攻击者,对于Web程序安全这个话题都给予了越来越多的关注。特别是最近CSDN密码泄露事件,更是让我们对Web安全这个话题更加重视,所有人都谈密码色变,都开始检测自己的系统是否存在漏洞。那么我们作为一名Go程序的开发者,一定也需要知道 ...
分类:
Web程序 时间:
2020-01-14 20:35:33
阅读次数:
103
一、原理 SQL注入的本质就是把用户的输入参数,未加过滤的当作sql被数据库执行。 二、分类 1、常见的sql注入按照参数类型可分为两种: 数字型和字符型。 当发生注入点的参数为整数时,比如 ID,num,page等,这种形式的就属于数字型注入漏洞。同样,当注入点是字符串时,则称为字符型注入,字符型 ...
分类:
数据库 时间:
2020-01-12 21:55:59
阅读次数:
79
一款优秀的XSS批量检测工具 https://www.freebuf.com/sectool/223009.html 必须学习胶水语言才可以啊 至少学会代码的编写与使用。 0×01 简介 NoXss是一个供web安全工程师批量检测xss隐患的脚本工具。其主要用于批量检测,比如甲方内部安全巡检,人工分 ...
分类:
其他好文 时间:
2020-01-12 10:11:29
阅读次数:
92
1. 安全问题主要可以理解为以下两方面: 私密性:资源不被非法窃取和利用,只有在授权情况下才可以使用; 可靠性:资料不会丢失、损坏及篡改; 2. web安全的层面 代码层面:写代码时保证代码是安全的,没有漏洞; 架构层面:设计web项目时,从架构层面避免风险,从根源上保证代码的安全性; 运维层面:开 ...
分类:
Web程序 时间:
2020-01-11 22:28:54
阅读次数:
120
在使用成熟的框架编写Web应用程序时,有时候开发会处于永无止境的修改= 测试= 修改= 测试的状态。尽管如此,开发人员更专注于更改的功能和可视输出,而在安全性方面花费的时间却少得多。但是,当他们确实专注于安全性时,通常会想到的就是典型的事情,例如防止SQL注入或访问控制错误,但是对安全性的关注应该远 ...
分类:
Web程序 时间:
2020-01-10 11:04:37
阅读次数:
102
一、跨域安全限制(同源策略) 同源:协议+主机+端口相同 同源策略阻止从一个源加载的文档或脚本获取或设置从另一个源加载的文档的属性。 这种限制可以防止某些恶意攻击,但也会带来诸多不便。 解决方法: 1、document.domain + iframe (子域名代理) 1.1 知识点 (1)某一页面的 ...
分类:
Web程序 时间:
2020-01-07 18:17:12
阅读次数:
103
估计很多朋友都认为参数校验是客户端的职责,不关服务端的事。其实这是错误的,学过 Web 安全的都知道,客户端的验证只是第一道关卡。它的参数验证并不是安全的,一旦被有心人抓到可乘之机,他就可以有各种方法来摸拟系统的 Http 请求,访问数据库的关键数据。轻则导致服务器宕机,重则泄露数据。所以,这时就需 ...
分类:
编程语言 时间:
2020-01-04 18:25:32
阅读次数:
81
壹 ? 引 花了差不多半个月的晚上时间,正则入门学习也步入尾声了,当然正则的学习还将继续。不得不说学习成效非常明显,已能看懂大部分正则以及写出不太复杂的正则,比如帮组长写正则验证文件路径正确性,再如进产品页根据页面地址获取产品id: let pathname = '/webtoprint/dynam ...
分类:
其他好文 时间:
2019-12-29 00:54:47
阅读次数:
68
反射型XSS(get): 不会进行过滤。 前端对输入长度做了限制,我们需要修改一下才能输入完整的payload。 我们输入的payload嵌入了到了 p 标签里面,被浏览器正确执行了 反射型XSS(post): 参数内容不会出现在URL中 存储型xss: 不会进行过滤 输入 DOM型XSS: 查看源... ...
分类:
Web程序 时间:
2019-12-24 23:53:55
阅读次数:
167
一、概述 一、概述 不知不觉时间走到了2019年的岁末年初,马上又到了我们写年终总结的时候了,回顾过往一年的工作,有做的好的地方、也有好多不足,如果说要给过往一年的工作打个分数的话,我觉得打70分,初步达到目标但是还有欠缺,算是鞭策自己继续努力吧。 二、2019年总结 去北京金融街集团、长春一汽学习 ...
分类:
其他好文 时间:
2019-12-23 00:22:33
阅读次数:
145
