Web安全

已于 2022-07-03 18:45:38 修改
阅读量168 收藏 1
点赞数
分类专栏: Web开发 文章标签: 安全
于 2021-01-30 21:07:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Lee_01/article/details/107925957
版权
本文探讨了Web安全中的关键漏洞如SQL注入、CSRF伪造、XSS攻击,以及如何通过过滤用户输入、HTTPS保护、验证码策略、滑动验证等手段进行防御。此外,还涵盖了DDoS攻击、DNS劫持和业务漏洞的防护措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Web安全

漏洞和攻击手段

  • SQL注入
  • CSRF跨站请求伪造
  • XSS跨站脚本攻击
  • 分布式拒绝服务攻击(Distributed Denial of Service, DDos)攻击者不断地提出服务请求,让合法用户的请求无法及时处理
  • DNS劫持,DNS解析过程中篡改ip
  • 暴力破解
  • HTTP报头追踪漏洞,禁用http TRACE方法
  • 目录遍历漏洞
  • 命令执行漏洞
  • 文件上传漏洞
  • 业务漏洞:水平越权、垂直越权
  • 框架/应用漏洞

CSRF跨站请求伪造

在这里插入图片描述

  • 防护手段
    在这里插入图片描述

XSS跨站脚本攻击

在这里插入图片描述
防范:对用户输入内容进行过滤。

安全技术

HTTPS数字证书工作流程

在这里插入图片描述

验证码

  • 图形验证码
    • 输入型
    • 滑动型
    • 选择型
  • 短信验证码
  • 二维码验证
web安全测试入门
m0_62410106的博客
09-17 1375
安全测试:安全性测试指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程导致软件出现安全问题的主要原因或根源是软件的安全漏洞安全漏洞:特指在硬件、软件、协议的在逻辑设计上或具体实现或系统安全策略上存在的缺陷或错误漏洞的产生主要是由于程序员不正确和不安全变成引起的不法者可以通过漏洞获取系统额外权限并对系统植入木马、病毒、以窃取系统资料威胁到系统安全的错误才是漏洞安全漏洞危害系统完整性:非法串改破坏数据的完整性系统可用性:破坏系统或者网络,导致服务不可用。
web安全学习笔记
qq_40911864的博客
02-26 5072
web安全学习笔记 基础入门——基础概念 域名 什么是域名? 比如www.baidu.com,这就是一个域名,简单来说就是ip不好记,所以有了域名来方便记忆。通俗地讲,域名就是用户访问你的网站所使用的网址,相当于你家的通信地址,能够使访客方便快捷地访问你的网站 域名在哪里注册 域名注册建议大家去大的域名注册商,比如“腾讯云”和“阿里云”,因为大的域名服务商不管是安全还是服务上都有所保证。 域名注册是Internet中用于解决地址对应问题的一种方法。根据中国互联网络域名管理办法,域名注册服务机
web安全
持续学习,坚持原创,分享技术笔记及经验。
03-12 4056
web应用 认证:验证用户是否合法, 比如登录密码认证,人脸认证,短信验证,指纹; 鉴权:验证用户的操作权限,对应角色,不同的角色拥有不同的权限; 审计:后台服务会记录用户的操作,方便日后追踪定责;比如对网站的恶意攻击者发起法律维权; XSS: 跨站脚本攻击; 利用浏览器漏洞,通过执行黑客编写的js脚本来。可以窃取用户的cookie 密码 按键轨迹; 防护:用户的一切输入皆不可信。验证用户的输入,黑名单,白名单。特别的如果通过过滤用户输入,比如过滤一切<javasrcipt>和
Web安全基本概念
weixin_43994244的博客
03-04 7408
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
常用Web安全工具
tiantian1980的专栏
08-04 1650
nmap是一个免费开放的网络扫描和嗅探的工具包,也叫网络映射器.nmap强大之处在于简单.易用. 看一下nmap的基本功能探测一组主机是否在线扫描主机端口,嗅探所提供的网络服务.推断出主机所用的操作系统丰富的脚本功能Burp Suite是一款被网络安全专业人员广泛使用的安全工具,用于进行网站应用的安全测试。它由 PortSwigger 公司开发,提供免费和付费版本。Burp Suite 可以帮助发现网站应用中的漏洞,例如跨站脚本攻击 (XSS)、SQL 注入等。
web安全详解(渗透测试基础)
热门推荐
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是Cookie,Cookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
web安全之信息收集
天天学安全专属博客
10-26 4378
web安全之信息收集,包括网络拓扑信息,网站IP信息,域名信息,其中域名信息包括指纹识别,备案信息等 同时包括证书检测和CDN检测等,以及前后端框架检测,语言判断,操作系统判断,社会工程学等
暴力破解——Web安全
qq_44915227的博客
04-19 2753
暴力破解
Web安全摘要
DZ Space
11-05 4459
银弹
web安全 题目练习
qq_43613772的博客
07-16 2888
1、robots 题目链接:http://111.198.29.45:31667/ 首先看是robots直接在地址栏后方输入robots.txt进行查看,如下图所示: 显示最后一行不要慌张提交flag,还要做进一步操作,获得flag,如下图: 2、backup (题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!) 题目链接:http://111.198.2...
Web安全攻防:渗透测试实战指南 (徐焱)
最新发布
08-24
Web安全攻防:渗透测试实战指南 (徐焱)
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
WEB安全深度剖析.pdf
07-05
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
Web安全攻防实验.pdf
07-14
Web安全攻防实验.pdfWeb安全攻防实验.pdfWeb安全攻防实验.pdfWeb安全攻防实验.pdfWeb安全攻防实验.pdfWeb安全攻防实验.pdfWeb安全攻防实验.pdfWeb安全攻防实验.pdfWeb安全攻防实验.pdf
读书笔记:Web安全攻防渗透测试实战指南.zip
07-22
读书笔记:Web安全攻防渗透测试实战指南
“认证、授权”学习笔记
Lee_01的博客
02-21 1775
认证、授权 认证,Authentication 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。 常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。 授权,Authorization 授权是系统通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证通
前端点击按钮打印Excel
Lee_01的博客
01-06 1767
前端点击按钮打印Excel 实现思路 太长不看版 后端spire.xls将excel转为html,前端打印iframe 具体说明 前端只能打印html文档已有的dom节点,无法直接打印Excel,那么可以将Excel转换为html,在iframe中将html渲染出来,最后js调用打印接口就可以了。而转换这一步可以放在后端操作,实现工具库是 spire.xls ,pom看下面代码。 效果还可以 ???? 代码 后端 pom <dependency> <groupId>e-ice
NATAPP内网穿透使用笔记
Lee_01的博客
09-17 1401
目录 一、贫穷使我们相遇 1.注册后登录 2.购买免费隧道 3.配置隧道,将端口号改为8080,也可在上一步购买时指定 4.下载客户端解压 5.在加压后的目录下新建config.ini文件 6.运行natapp.exe 二、氪金就能变强 购买隧道 注册二级域名 隧道绑定二级域名 三、TCP内网穿透 一、贫穷使我们相遇 1.注册后登录 官网:https://natapp...
使用PhantomJS将html转换为PDF
Lee_01的博客
09-14 826
使用PhantomJS将html转换为PDF 官网:https://phantomjs.org/ 下载地址:https://phantomjs.org/download.html 使用案例:https://phantomjs.org/examples.html 转换使用的脚本:rasterize.js 使用步骤 下载压缩包并解压 命令行执行 cd path-to-phantomjs\bin phantomjs.exe ..\examples\rasterize.js URL filename # A4表
搭建pikachu靶场:Web安全渗透测试练习平台
pikachu是一个模拟存在多种Web安全漏洞的Web应用程序,它的设计目的是提供一个可供安全爱好者学习和练习的平台。通过使用pikachu靶场,学习者可以尝试发现并利用这些漏洞,从而理解漏洞的原理以及如何进行安全防护。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值