- 博客(7)
- 收藏
- 关注
RSS订阅原创 web安全入门学习笔记11——SQL注入
SQL注入是一种常见的网络攻击手段,攻击者通过恶意输入篡改SQL查询语句,可能导致数据泄露、凭证窃取甚至数据库破坏。防范的关键措施包括:1)优先使用参数化查询(Prepared Statements),严格区分SQL语句与参数;2)ORM框架能自动防御注入,但需避免手动拼接SQL;3)实施最小权限原则,限制数据库账号权限;4)密码必须加盐哈希存储。第三方认证(如OAuth)可降低密码管理风险。开发者应始终警惕字符串拼接构造SQL的危险做法,这是防范SQL注入的第一道防线。
2025-07-28 21:48:16
958
原创 web安全入门学习笔记10——Vue 与 JSX 深度解析
维度VueJSX本质前端框架语法扩展主要用途构建完整应用声明UI组件安全优势模板自动转义表达式自动转义危险操作v-html指令调试难度浏览器DevTools需要SourceMapCTF出现率常见于Web题多见于React题学习建议掌握指令系统精通JS表达式安全核心警惕v-html禁用dangerouslySetInnerHTML结论Vue 是框架级解决方案,提供完整的应用开发生态。
2025-07-23 15:35:49
887
原创 web安全入门学习笔记9——XSS Payload 深度解析:原理、攻击与防御
预防:输入验证 + 输出编码 + CSP策略检测:自动化扫描 + 人工审查响应:及时修复漏洞 + 安全通告恢复:清除恶意代码 + 撤销泄露凭证改进:根因分析 + 流程优化终极防线所有用户输入皆不可信所有输出必须按上下文编码实施最严格的内容安全策略保持框架和安全库更新定期进行安全审计和渗透测试。
2025-07-23 15:12:05
1582
原创 web安全入门学习笔记8——XSS原理及实践
:攻击者通过在网站中注入恶意脚本,当其他用户访问网站时,浏览器会执行这些恶意脚本,从而实现攻击目的。
2025-07-21 11:47:00
928
原创 web安全学习笔记7——webshell定义和应用
Webshell(网路壳) 是一种被恶意植入到网站服务器上的脚本程序(通常用 PHP、ASP、JSP 等编写),攻击者可通过浏览器或工具远程操控服务器,实现持续性的非法控制。⚠️ Webshell = 黑客的远程控制台🔍 检测要点:异常进程/大流量文件/非常规端口连接💡 安全意识:所有上传文件应视为潜在威胁🛡️ 最佳防御:遵循「最小权限原则」+ 深度防御策略理解 WebShell 机制,既能提升防御能力,也是在 CTF 中攻克 Web 题目的关键技能!
2025-07-20 21:14:48
777
原创 web安全入门学习笔记6——PHP序列化和反序列化
序列化:将武器拆解后放入快递箱反序列化:收件人重新组装武器漏洞:攻击者篡改零件,组装成定时炸弹防御:只接收信任来源的零件,严格验货在CTF竞赛中,理解序列化机制是解决Web类题目的关键技能之一!
2025-07-19 21:27:29
334
原创 Web安全入门学习笔记5——php语言基础
本教程快速介绍了PHP中与网络安全相关的重要知识。在CTF中,你会经常遇到上述漏洞类型。学习PHP安全,不仅要了解如何利用这些漏洞,还要知道如何防御。请继续深入学习PHP,并实践编写安全的代码。注意:在实际应用中,使用最新的PHP版本(避免已知漏洞)并遵循安全开发规范。
2025-07-18 15:40:56
561
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人