参考:http://blog.csdn.net/sum_rain/article/details/37085771Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。那么,Token有什么作用?又是什么原理呢?Token一般用在两个地方:1)防止表单重复提交、2)ant...
分类:
Web程序 时间:
2014-07-09 21:11:09
阅读次数:
200
首先,笔记不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是:“知道有这么一...
分类:
Web程序 时间:
2014-07-03 10:01:19
阅读次数:
193
XSS跨站脚本攻击一直都被认为是客户端 Web安全中最主流的攻击方式。因为 Web环境的复杂性以及
XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。跨站脚本攻击(Cross
Site ...
分类:
其他好文 时间:
2014-06-29 12:23:52
阅读次数:
335
一,Web安全的关键点
1.同源策略是众多安全策略的一个,是Web层面上的策略,非常重要。
2.同源策略规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源。
3.同域要求两个站点同协议,同域名,同端口。
4.当然,在同一个域内,客户端脚本可以任意读写同源内的资源,前提是这个资源本身是可读可写的。
5.安全类似木桶原理,短的那块板决定了木桶实际能装多少水。一个Web服务器,r...
分类:
Web程序 时间:
2014-06-20 11:56:43
阅读次数:
362
OpenSSL从基础到应用系列:1)OpenSSL之安全通讯基础2)OpenSSL之PKI3)OpenSSL之SSL协议的Web安全实现4)OpenSSL之编译安装透过上面几个方面的学习,我们应该对OpenSSL有了一个基本的了解。OpenSSL功能之强大,命令组合用法之多,往往让我们的学习不知所措。在此,我们来对openssl..
分类:
其他好文 时间:
2014-06-17 18:40:54
阅读次数:
161
一、此书到底何方神圣?
《大型网站技术架构:核心原理与案例分析》通过梳理大型网站技术发展历程,剖析大型网站技术架构模式,深入讲述大型互联网架构设计的核心原理,并通过一组典型网站技术架构设计案例,为读者呈现一幅包括技术选型、架构设计、性能优化、Web安全、系统发布、运维监控等在内的大型网站开发全景视....
分类:
Web程序 时间:
2014-06-07 20:14:59
阅读次数:
328
前言
JSON(JavaScript Object Notation),可以说是事实的浏览器,服务器交换数据的标准了。目测其它的格式如XML,或者其它自定义的格式会越来越少。
为什么JSON这么流行?
和JavaScript无缝对接是一个原因。
还有一个重要原因是可以比较轻松的实现跨域。如果是XML,或者其它专有格式,则很难实现跨域,要通过flash之类来实现。
任何一种数据格式,如...
分类:
Web程序 时间:
2014-06-03 02:26:54
阅读次数:
370
W3AF简介:W3AF是一个用python开发的web安全综合审计平台通过增加插件来对扩展其功能,支持GUI和命令行两种界面位置:/pentest/web/w3af;;;打开图形化界面:./w3af_gui扫描结果保存在/pentest/web/w3af/目录下,下面是扫描结果
分类:
Web程序 时间:
2014-05-26 03:09:46
阅读次数:
259
Wfuzz简介:Wfuzz是一款用来进行web应用暴力猜解的工具,支持对网站目录、登录信息、应用资源文件等的暴力猜解,还可以进行get及post参数的猜解,sql注入、xss漏洞的测试等。该工具所有功能都依赖于字典。位置:/pentest/web/wfuzz用法就是把你想进入测试的地方用FUZZ代....
分类:
Web程序 时间:
2014-05-26 02:14:32
阅读次数:
353
