智安全比赛
关注
分享
扫一扫
冰镇阔落
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
HTTP协议分析——状态与会话
会话与会话状态简介 WEB应用中的会话是指一个客户端浏览器与WEB服务器之间连续发生的一系列请求和响应的过程。 WEB应用的会话状态是指WEB服务器与浏览器在会话过程中产生的状态信息,借助会话状态,WEB服务器能把属于同一会话中的一系列请求和响应过程关联起来。 如何实现有状态的会话 HTTP协议是一种无状态的协议,WEB服务器本身不能识别哪些请求是同一个浏览器发出的,浏览器的每一次请求都是完...转载 2019-06-18 23:41:24 · 1707 阅读 · 0 评论 -
HTTP协议分析——Cookie欺骗
网站登录——身份认证 一个页面能否被访问,判断依据是通过存储信息区域中用户的信息来判断的 登录页面的作用就是 验证用户输入的用户名+密码的组合是否在数据库中存在。若存在则将信息保存在存储信息的区域,以方便各个页面去判断权限 Cookie漏洞——泄漏 由于采用的是http传输,可以通过获取客户端发送给服务端的cookie请求来获取相关的信息,再将cookie请求发送给服务端。 cookie相...转载 2019-06-19 00:03:09 · 801 阅读 · 0 评论 -
HTTP协议分析——Fiddler和Burp suit工具
拦截HTTP请求 Fiddler Fiddler是一个http协议调试代理工具,能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指Cookie,html,js,css等文件)。 Burp Suit Burp Suit是用于攻击WEB应用程序的集成平台,包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程,所有的工具都共享一...转载 2019-06-19 00:20:57 · 2344 阅读 · 0 评论 -
SQL注入简介——SQL注入概念
SQL注入定义 SQL Injection:通过将SQL命令插入到WEB表单递交或输入域名或页面请求的查询字符串,达到欺骗服务器执行恶意的SQL命令的目的。 具体而言,利用现有的应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,可以通过在WEB表单中输入SQL语句得到一个存在安全漏洞的网站上的数据库,而非按照设计者的意图去执行SQL语句。 1、本质:代码和数据不区分。 2、成因:未对用...转载 2019-06-19 16:54:58 · 522 阅读 · 0 评论 -
HTTP协议分析——请求与响应
HTTP协议详解 HTTP是一种无状态的协议。无状态是指WEB浏览器与WEB服务器之间不需要建立持久的连接,这意味着当一个客户端向服务器端发出请求,然后WEB服务器返回响应(Response),连接就被关闭了,在服务器端不保留连接的有关信息,也就是说,HTTP请求只能由客户端发起,而服务器不能主动向客户端发送数据。 HTTP遵循请求(Request)/应答(response)模型,WEB浏览器向W...转载 2019-06-18 15:36:04 · 1227 阅读 · 0 评论