###题目描述 某国为了防御敌国的导弹袭击,发展出一种导弹拦截系统。但是这种导弹拦截系统有一个缺陷:虽然它的第一发炮弹能够到达任意的高度,但是以后每一发炮弹都不能高于前一发的高度。某天,雷达捕捉到敌国的导弹来袭。由于该系统还在试用阶段,所以只有一套系统,因此有可能不能拦截所有的导弹。 输入导弹依次飞 ...
分类:
其他好文 时间:
2020-05-30 21:57:24
阅读次数:
93
本文讲了一下CSRF攻击的基本原理以及基本过程。通俗的来讲CSRF攻击就是伪造被信任用户的请求,达到欺骗被攻击网站的目的。对于CSRF攻击的主要防御措施有验证HTTP头的Referer字段、验证HTTP头的Token字段以及在HTTP头中自定义属性并验证。从防御手段我们可以看出应对CSRF攻击,主要... ...
分类:
其他好文 时间:
2020-05-27 23:12:19
阅读次数:
135
高并发 Nginx+Lua OpenResty系列(9)——HTTP服务 https://www.cnblogs.com/babycomeon/p/11109493.html 此处我说的HTTP服务主要指如访问京东网站时我们看到的热门搜索、用户登录、实时价格、实时库存、服务支持、广告语等这种非Web ...
分类:
Web程序 时间:
2020-05-27 15:49:14
阅读次数:
88
一、实验概述 (一)实验名称 Web安全基础。 (二)实验目的与要求 ·下载安装WebGoat,调试至可以正常使用; ·在WebGoat平台上完成不少于7个题目,要求涵盖SQL,XSS,CSRF等攻击类型; ·掌握常见的Web攻击手段的原理以及防御策略。 (三)实验原理 WebGoat是OWASP组 ...
分类:
Web程序 时间:
2020-05-27 01:10:38
阅读次数:
181
目录 "1.实践内容" "1.1 Web Goat环境搭建" "1.2 SQL注入" "1.3 XSS攻击" "1.4 CSRF攻击" "2.实践问题回答" "(1)SQL注入攻击原理,如何防御" "(2)XSS攻击的原理,如何防御" "(3)CSRF攻击的原理,如何防御" "3.实践总结与体会" ...
分类:
Web程序 时间:
2020-05-25 17:47:40
阅读次数:
91
电商(应该算是逻辑漏洞)(发散一下思维自己找)讲得多了思路都固定了挖洞这个必须要思路活跃不能太固定 注册处 登陆出 收货地址 订单信息 充值 逻辑漏洞比较好挖(很难防御,不排除程序员很细心(可能性也是比较小的)) 注入-弱口令-任意用户登录-爆破-弱口令-url跳转-凭证劫持-xss-越权-越权+x ...
分类:
其他好文 时间:
2020-05-25 00:10:48
阅读次数:
58
Content Security Policy减少劫持 什么是CSP? CSP是由单词 Content Security Policy 的首单词组成,是HTML5带给我们的一套全新主动防御的体系,旨在减少(注意这里是减少而不是消灭)跨站脚本攻击。CSP是一种由开发者定义的安全性政策性申明,通过CSP ...
分类:
其他好文 时间:
2020-05-23 21:49:56
阅读次数:
127
[toc] 实验内容 本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,共3.5分。包括(SQL,XSS,CSRF)。Webgoat实践下相关实验。 实验后问题回答 SQL注入攻击原理,如何防御 原理:是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是,在输入字符串中嵌入SQ ...
分类:
Web程序 时间:
2020-05-23 13:00:32
阅读次数:
92
一:什么是XSS攻击? 二:反射型XSS 三:存储型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防范? 1. cookie安全策略 2. X-XSS-Protection设置 3. XSS防御HTML编码 4. XSS 防御HTML Attribute编码 5. XSS防御 ...
分类:
Web程序 时间:
2020-05-23 00:15:48
阅读次数:
156
在软件开发中针对用户的输入往往不是我们所期待的那样(不满足前置条件),有时候软件内部往往也会出现一些我们不易察觉的错误,针对这种情况,一些人持有乐观的态度,而另外一些人则从一个其他的事情中得到了启发:即由防御式驾驶而想到的防御式编程。 所谓防御式编程,指的就是这样一件事情:即我们假定使用者都是白痴, ...
分类:
其他好文 时间:
2020-05-22 22:57:42
阅读次数:
96
