静水流深

相信大家都或多或少的听过关于各种Web应用安全漏洞，诸如:跨site脚本攻击(XSS)，SQL注入，上传漏洞...形形色色.　　在这里我并不否认各种命名与归类方式，也不评价其命名的合理性与否，我想告诉大家的是，形形色色的安全漏洞中，其实所蕴含安全问题本质往往只有几个。 我个人把Web应用程序安全性本质问题归结以下三个部分：　　１、输入／输出验证(Input/output validatio

开始我的web安全测试之旅第一步，弄清楚web安全问题分类，呵呵，宏观的认识很重要，会让你有一种高屋建瓴的感觉，希望对大家有点用。Web安全类型形形色色，常见的安全问题，大家可能也都能说出一两个，什么SQL注入、xss、cookie欺骗等。如果我们列出几十种web安全问题，估计就要晕了。所以有必要归类。从宏观角度讲，web安全方面的问题可以分为三层 ，即网络、操作系统和服务器、web应

最近开始学习Web安全测试的东西，就随意找了些资料看了看，为了记录学习的点滴过程，我就从这里开始了。      这里我主要总结一下常见编码，如何识别、解码和编码，这些可能只适合同我一样菜鸟级别的选手。      Web中常见的编码有: Base-8、Base-16、Base-36、Base-64、Unix时间戳、URL编码、HTML编码及其他等。      八进制和十六进制大家都很熟悉

Http定义了与服务器交互的不同方法，最基本的方法有4种，分别是GET，POST，PUT，DELETE。URL全称是资源描述符，我们可以这样认为：一个URL地址，它用于描述一个网络上的资源，而HTTP中的GET，POST，PUT，DELETE就对应着对这个资源的查，改，增，删4个操作。到这里，大家应该有个大概的了解了，GET一般用于获取/查询资源信息，而POST一般用于更新资源信息。　　1.根

XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.  比如获取用户的Cookie，导航到恶意网站,携带木马等。作为测试人员，需要了解XSS的原理，攻击场景，如何修复。 才能有效的防止XSS的发生。