Web 安全学习笔记

Web安全攻防与防护详解
最新推荐文章于 2024-07-25 16:50:43 发布
原创 最新推荐文章于 2024-07-25 16:50:43 发布 · 288 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ddos #网络安全 #web安全 #系统安全 #服务器

本文详述了Web安全的各个层面,包括浏览器、服务器和数据库的安全攻击及防护措施,如Cookie假冒、跨站脚本攻击、SQL注入等。同时,介绍了网络安全攻击如DDoS和传输数据篡改的防范策略,以及Web安全学习路线。

本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。

一、最简单的 Web 物理架构

您必须了解 HTTP 协议,简单总结如下:

  • 浏览器和服务器的通信采用无状态的 HTTP 协议。
  • 通过控制 HTTP 的请求头,可以控制:客户端缓存、Cookie、请求编码、相应编码等。
  • 请求内容向服务器提交数据(POST 和 GET),响应内容向浏览器发送数据。
  • Cookie 包含在每个请求和响应中,因此客户端和服务器都可以访问到。
  • 一般使用 Cookie 来维护一个浏览器会话(也有其他方式)。

二、攻击方式总览

三、Web 软件安全攻击防护

3.1、浏览器安全攻击

Cookie 假冒

定义

非期望的修改 Cookie 的值。

场景

服务器将用户的授权信息存储在 Cookie 中,然后客户端用这些 Cookie 决定导航的显示与否。如果有程序恶意的修改了Cookie,会导致权限提升。

攻击方式

  • 注入的 Javascript 代码。
  • 使用浏览器调试工具。
  • 本机病毒等。

防护措施

  • 尽量将 Cookie 设置为 HttpOnly,浏览器伪造不了这种 Cookie。
  • 防止 Javascript 注入。

隐藏变量修改

定义

非期望的修改隐藏变量。

场景

订单的折扣计算完全依赖客户端的某个变量,这个变量是从服务器生成的,所有逻辑都在客户端计算,服务器只是接受最后的计算结果。如果有程序恶意的修改了变量,会绕过某些业务逻辑。

攻击方式

  • 注入的 Javascript 代码。
  • 使用浏览器调试工具。

保护措施

  • 防止 Javascript 注入。
  • 关键的功能不要依靠客户端控制,要采用服务器控制。

跨站脚本攻击

最低0.47元/天 解锁文章
白袍万里
关注
WEB安全学习笔记
chenrs727的博客
12-02 2214
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
web安全学习笔记.pdf
09-20
"Web 安全学习笔记" Web 安全学习笔记是关于网络安全的综合性学习笔记,涵盖了 Web 安全的基础知识、常见威胁、防御策略等方面的内容。下面将详细介绍该笔记中所涉及的知识点: 一、Web 安全基础 * Web 安全定义...
安全Web 安全学习笔记
weixin_33893473的博客
12-05 331
背景 说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。 最简单的 W...
Web安全学习笔记(一)
weixin_34303897的博客
09-19 153
Web安全学习笔记(一): URL协议 HTTP协议 1. URL 2. HTTP协议 什么是HTTP HTTP的工作原理 HTTP报文 什么是Cookies HTTP请求方式 Referer请求的功能 HTTP状态码、Set-Cookies 转载于:https://www.cnblogs.com/ryomahan/p/7549870.html...
web安全学习笔记
(づ。◕‿‿◕。)づgigi奋斗在前端和刷题中╮(╯﹏╰)╭
08-17 2325
XSS 跨站脚本攻击,指攻击者在网页中嵌入恶意脚本,当用户浏览此网页时脚本就会执行,从而达到攻击者的目的,比如获取cookie、导航到恶意网站等。 分类 反射型XSS 将用户输入的存在XSS攻击的数据,发送给后台,后台并未对数据进行存储,也未经过任何过滤和转义,直接返回给客户端被浏览器渲染。就可能导致XSS攻击; 假设站点http://www.test.com/xss/refl
web安全学习笔记(1)
qq_34333059的博客
03-16 260
Web安全学习笔记(1) 部署虚拟机XP和2003 一、部署win xp 虚拟机 准备xp系统的iso镜像文件 准备xp系统的安装位置 a.安装win xp的虚拟机 b.优化虚拟机 调出桌面图标 安装VMware tools(安装驱动),重启操作(与真实机互动) 磁盘管理(创建D盘分区) ...
精选资源
Web安全学习笔记-Web-Sec Documentation
01-30
Web安全学习笔记——Web-Sec Documentation(以下简称Web-Sec Documentation)作为一份全面的Web安全指南,对于广大网络爱好者和专业人士来说,不仅是了解Web安全理论的基石,更是掌握网络安全技术的重要参考资料。...
精选资源
安全Web安全学习笔记
02-26
这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习Web安全方面的笔记。本文不涉及IIS、Windows和SqlServer的安全管理...
基于Python的Web安全学习笔记设计源码
10-09
而基于Python的Web安全学习笔记设计源码,正好提供了一个这样的学习平台。 该项目包含276个文件,不仅包括了265个ReStructuredText文档,还涵盖了3个PNG图片、2个Markdown文件、1个.gitignore配置文件、1个LICENSE...
Web安全学习笔记2021中文PDF最新版最新版本
最新发布
12-01
Web安全学习笔记是一个Web安全学习帮助参考文档,在学习Web安全的过程中,深切地感受到相关的知识浩如烟海,而且很大一部分知识点都相对零散,如果没有相对清晰的脉络作为参考,会给学习带来一些不必要的负担。...
Web安全 学习笔记
农夫果园好好喝的博客
04-18 711
P1概念名词 1,1 域名 什么是域名? 域名是有一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指的是地理位置)。 什么是二级域名多级域名? 二级域名:分两种 在国际顶级域名下的二级域名 国际顶级域名下二级域名,二级域名一般是指域名注册人选择使用的网上名称,如“yahoo.com”;上网的商业组织通常使用自己的商标、商号或其他商业标志作为自己的网上名称,如“microsoft.com”。 国家顶级域名下二级域名 在国家顶级域名之下二级域名
Web安全学习笔记
X_Bubble的博客
07-25 738
可以添加在头部区域的元素标签为: , , , , , 和 。target:指定连接如何在浏览器中打开,常见值包括_blank(在新标签或窗口中打开链接)和_self(在当前标签或窗口中打开链接)元素通常用于指定网页的描述,关键词,文件的最后修改时间,作者和其他元数据。描述了基本的链接地址/链接目标,改标签作为HTML文档中所有的链接标签的默认链接。在中使用了herf属性来描述链接的地址。
web安全学习笔记网络安全
zxcvbnmasdflzl的博客
05-17 370
本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。 这个 Web 安全学习路线,整体大概半年左右,具体视每个人的情况而定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值