WEB安全漏洞学习

关于web安全开发之签名认证

签名认证的原理1.客户端请求数宇签名生成与摘要认证的方式类似,由于传递端和接收端都认为HTTP协议的请求参数是无序的,因此对于签名认证来说,客户端与服务端双方需要约定好参数的排序方式。请求的参数经过排序后,再将参数名称和值经过一定的策略组织起来,这时不再是加上secret,而是直接通过约定的摘要算法来生成数字摘要,并且使用客户端私钥对数字摘要进行加密,将加密的密文传递给服务端。代码实现:Java的
先生zeng·2023-11-20 07:42

安全测试===burpsuit指南

网址:https://www.gitbook.com/book/t0data/burpsuite/details引子刚接触web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了BurpSuite
软件测试技术·2023-11-20 04:48

2024年山东省职业院校技能大赛中职组“网络安全”赛项竞赛试题-B

A、B模块A-1登录安全加固180分钟200分A-2本地安全策略设置A-3流量完整性保护A-4事件监控A-5服务加固A-6防火墙策略B-1Windows操作系统渗透测试400分B-2数字取证调查B-3Web
旺仔Sec·2023-11-20 00:58

Web安全研究(五)

AutomatedWebAssemblyFunctionPurposeIdentificationWithSemantics-AwareAnalysisWWW23文章结构introbackgroundsystemdesignabstractiongenapplyingabstractionsclassifierdatacollectionandhandlingdataacquisitionstat
西杭·2023-11-19 23:32

【信息安全】浅谈三种XSS(跨站脚本攻击)的攻击流程与防御措施

XSS跨站脚本攻击(Cross-SiteScripting,简称XSS)是一种常见的Web安全漏洞,攻击者通过在Web应用中注入恶意脚本,使得浏览器在解析页面时执行该脚本,从而实现攻击目的。
HEX9CF·2023-11-19 21:34

XEE漏洞学习(史上最详细 包括Linux配置漏洞环境)

XXE基础概念1、xml基础概念XXE漏洞全称XMLExternalEntityInjection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml
qwetvg·2023-11-19 15:28

HTTP协议

文章目录前言一、HTTP基础要点内容二、协议结构和通信原理要点内容三、特性、使用要点内容四、构建应用要点内容五、安全、HTTPS要点内容六、功能追加协议要点内容七、Web安全要点内容WASC将web威胁分六类总结前言一
李海成·2023-11-19 14:52

2021年中职“网络安全“江西省赛题—A模块解析

如何生成可参考右边的帮助文档2021年中职"网络安全"江西省赛题—A模块解析A模块基础设施设置/安全加固(200分)A-1:登录安全加固1.密码策略(web)2.登录策略(web)3.用户安全管理(web)A-2:Web
acaciaf·2023-11-19 05:39

2022年-2023年中职网络安全web渗透任务整理合集

2022年中职网络安全web渗透任务整理合集目录2022年中职网络安全web渗透任务整理合集跨站脚本渗透-1Web应用程序文件包含跨站脚本渗透-2Web隐藏信息获取Web安全之综合渗透测试服务渗透测试Web
旺仔Sec·2023-11-19 05:30

Web前后端漏洞分析与防御

第1章课程介绍试看2节|15分钟介绍安全问题在web开发中的重要性,并对课程整体进行介绍收起列表视频:1-1Web安全课程介绍(09:24)试看视频:1-2项目总览(04:47)第2章环境搭建2节|26
你想要的我都有008·2023-11-19 00:52

漏洞学习篇:CVE漏洞复现

漏洞原理ApacheHTTPServer是Apache基础开放的流行的HTTP服务器。在其2.4.49版本中,引入了一个路径体验,满足下面两个条件的Apache服务器将受到影响:版本等于2.4.49*Requireallgranted(默认情况下是允许被访问的)。攻击者利用这个漏洞,可以读取到Apache服务器Web目录以外的其他文件,或者读取Web中的脚本源码,或者在开启cgi或cgid的服务器
网络安全小强·2023-11-18 20:25

初识web安全3--常见web安全隐患

0x01安全隐患原理web安全隐患与web应用的功能息息相关,大多数web安全隐患是由于数据与命令的区分不严格所造成的!比如注入型隐患web应用中传递的信息多数是文本格式。
kdist·2023-11-17 10:05

网络安全(大厂面试真题集)

一、web安全岗面试题1.1、什么是SQL注入攻击?如何防止SQL注入攻击?S
羊村最强沸羊羊·2023-11-17 09:09

白帽子讲web安全笔记——XSS(二)

XSS构造技巧利用字符编码由于采用GBK/GB2312编码%c1\长两个字符组合在一起会成为一个新的Unicode,会变成一个字符从而绕过系统的安全检查。绕过长度限制假设下面的代码存在一个漏洞那下面的XSS构造就会失效">alert(/xss/)重新构造利用攻击时间来缩短所需要的字节数"onclick=alert(1)//但是利用时间缩短的字节数是有限的,最好的办法是把XSSPayload写到别处
奶茶里的红豆·2023-11-16 21:45

白帽子讲web安全笔记

黑客精神:分享,自由,免费安全人员:必定是在一个不断分解问题并且再对分解问题逐个解决。安全问题:本质是信任问题。安全过程:安全是一个持续的过程,这个过程中没有银弹。安全要素:完整性可用性机密性(可审计性不可抵赖性)安全评估:资产登记划分威胁分析风险分析确认解决方案资产等级划分:首先我们要明白我们的要保护的目标是什么,核心的互联网安全问题就是数据的安全,划分资产等级也就是划分数据重要的安全程度,通过
weixin_34097242·2023-11-16 21:44

白帽子讲web安全 笔记(一)

第一章我的安全世界观漏洞利用代码英文“exploit”(开发;剥削;利用),通过exploit实现网络攻击获取root权限是最常见的攻击模式。早期互联网中,Web并非主流应用,相对而言,基于SMTP、POP3、FTP、IRC等协议的服务拥有绝大多数用户。早期系统软件对黑客的吸引力远大于web,防火墙、ALC(访问控制列表)等技术的兴起改变了互联网安全格局,运营商、防火墙对网络的封锁使暴露在互联网上
秋水木华·2023-11-16 21:14

《白帽子讲web安全》读书笔记

安全世界观安全的本质是信任问题。安全是一个持续的过程,不可能一劳永逸。安全三要素:机密性,完整性,可用性实施安全评估:资产等级划分,威胁分析(微软STRIDE模型),风险分析(DREAD),确认解决方案。互联网安全的核心问题是数据安全问题设计安全方案SecureByDefault原则黑白名单最小权限原则纵深防御原则数据与代码分离原则(适用于由于注入引发的安全场景)不可预测性原则浏览器安全同源策略浏
人间且慢行呀·2023-11-16 21:43

《白帽子讲Web安全》学习笔记

一、为何要了解Web安全最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了)。
网络安全负总裁·2023-11-16 21:12

《白帽子讲web安全》学习笔记——web安全概述

一、安全的三要素1、机密性机密性要求保护数据内容不被泄露,加密是实现机密性要求的常见方法,比如常见的对称加密算法和非堆成加密算法。2、完整性完整性要求保护数据内容是完整的,没有被篡改,常见的保证一致性的技术手段是数据签名。3、可用性可用性要求保护资源是“随需而得”。安全领域中,拒绝服务攻击破坏得就职安全的可用应。安全领域中,除以上要素外,仍然存在一些其他要素,比如不可抵赖性、可审计性,但最重要的要
雖千萬里,吾往矣·2023-11-16 21:42

《白帽子讲web安全》笔记

第八章文件上传漏洞文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力文件上传后导致的常见安全问题一般有:❍上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行;❍上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为(其他通过类似方式控制策略文件的情况类似);❍上传文件是病毒、木马
测试开发-东方不败之鸭梨·2023-11-16 21:11

CTF-PHP反序列化漏洞3-构造POP链

技术领域:WEB安全、网络攻防关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!
Eason_LYC·2023-11-16 14:33

Web安全:Vulfocus 靶场搭建.(漏洞集成平台)

Web安全:Vulfocus靶场搭建.(漏洞集成平台)Vulfocus是一个包含了多种漏洞靶场的镜像。每个靶场都有具体的漏洞环境和攻击点。
半个西瓜.·2023-11-16 10:37

Web安全-JavaScript基础

文章目录JavaScript语言简述:为Web2.0而生:JavaScript教程:JavaScript数据类型:JavaScript编程逻辑:JavaScript打印数据:JavaScript框架:JavaScript混淆:JavaScript代码混淆开源项目介绍:参考资料:JavaScript语言简述:JavaScript(通常缩写为JS)是一种进阶的、直译的程式语言(动态执行语言与Pytho
IT鹅·2023-11-16 04:42

2022年零基础自学网络安全/Web安全,看这一篇就够了

作为一个安全从业人员,我自知web安全的概念太过于宽泛,我本人了解的也并不够精深,还需要继续学习。
技术宅不太宅·2023-11-16 01:55

应用协议安全:Rsync-common 未授权访问.

目录:应用协议安全:Rsync-common未授权访问.Rsync-common未授权访问靶场准备:Web安全:Vulfocus
半个西瓜.·2023-11-15 22:14

Web安全之PHP的伪协议漏洞利用,以及伪协议漏洞防护方法

一、背景今天介绍一个比较冷门的知识,只有在PHP环境中存在的伪协议漏洞,那么什么是PHP伪协议呢?PHP伪协议事实上就是支持的协议与封装协议。可用于类似fopen()、copy()、file_exists()和filesize()的文件系统函数。除了这些封装协议,还能通过stream_wrapper_register()来注册自定义的封装协议。ctf中的文件包含、文件读取的绕过、正则的绕过等等会需
Scalzdp·2023-11-15 21:03

阿里云安全面经,已收到意向书

简历重点:WEB安全、Python、软件著作权一项、实验室的漏洞挖掘项目和字节跳动安全与风控部门寒假训练营(所在小组获得第一)。
网络安全入门到进阶·2023-11-15 17:04

文件上传漏洞学习

概述漏洞产生原因:服务端代码未对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况。文件上传绕过(1)js检测绕过1.删除js中检测文件的代码;2.上传的文件改为允许的后缀绕过js检测后再抓包,把后缀名改为可执行的文件。(2)文件后缀名绕过1.绕过服务器限制上传文件的后缀2.有些Apache是允许解析其他文件后缀名,例如httpd.conf中配置以下代码:AddTypeappl
葫芦娃42·2023-11-15 14:02

Vulhub靶场搭建

(简答来说是docker化的漏洞学习平台)vulhub地址vulhub环境与vulnhub的区别vulnh
派大星的海洋裤...·2023-11-15 04:00

网络安全(黑客)自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知
网安周·2023-11-15 04:51

网络安全(黑客)自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知
网安周·2023-11-15 04:51

常见web安全漏洞修复方案(全面)

第一章SQL注入漏洞第一节漏洞介绍概述:SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。它将SQL命令注入到数据层输入,从而影响执行预定
安全大哥·2023-11-14 13:05

网络安全自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
德西德西·2023-11-13 22:47

黑客技术(网络安全)-自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-11-13 20:12

网络安全黑客技术自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-11-13 20:09

【信息安全原理】——传输层安全(学习笔记)

目录1.传输层安全问题1.1UDP1.2TCP2.SSL2.1Web安全需求2.2SSL体系结构2.2.1SSL记录协议2.2.2SSL密码变更
HinsCoder·2023-11-13 17:56

【精选】2023网络安全学习路线 非常详细 推荐学习

关键词:网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线分享2套零基础、进阶学习网络安全/渗透测试教程第一套是Web安全学习笔记,共430页12个章节。
Python栈机·2023-11-13 11:20

[ 云原生之谜 ] 云原生背景 && 定义 && 相关技术详解?

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-11-13 07:41

万字渗透测试入门知识点,自学查漏补缺

KaliLinux配置与使用VMware安装kaliVMware虚拟网络编辑Linux使用基础Kalilinux配置kali工具内网靶场虚拟环境搭建云服务器Docker渗透测试基础网络协议基础信息收集WEB
蚁景网安·2023-11-12 03:06

1021.安全资源共享

Web安全视频Online-Security-Videos–红日Web安全攻防视频Online-Security-Videos–西安鹏程网络安全攻防课程Online-Security-Videos–Vulhub
weixin_30906671·2023-11-12 03:05

安全资源共享

https://www.hackjie.com/Web安全视频Online-Security-Videos–红日Web安全攻防视频Online-Security-Videos–西安鹏程网络安全攻防课程Online-Security-Videos–Vulhub
z-pan·2023-11-12 03:05

Web安全XSS攻击

前端安全随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进
RogerXue12345·2023-11-12 03:35

5种常用Web安全扫描工具,快来查漏补缺吧!

漏洞扫描是一种安全检测行为,更是一类重要的网络安全技术,它能够有效提高网络的安全性,而且漏洞扫描属于主动的防范措施,可以很好地避免黑客攻击行为,做到防患于未然。那么好用的漏洞扫描工具有哪些?答案就在本文!1、AWVSAcunetixWebVulnerabilityScanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。官方网站:https://
自动化测试 老司机·2023-11-12 03:00

hadoop、jboss未授权访问漏洞复现与未授权访问漏洞学习(内含服务器与中间件的区别)

hadoop:Hadoop是一个由Apache基金会所开发的分布式系统基础架构,Hadoop默认开放了很多端口来提供WebUI服务,由于服务器直接在开放了Hadoop机器HDFS的50070web端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作主要HDFS(Hadoop分布式文件系统)和MapReduce(一种编程模型)的WebUI对应的
不想当脚本小子的脚本小子·2023-11-11 17:28

XSS 漏洞的理解

谈一谈你对XSS漏洞的理解1.漏洞描述跨站脚本攻击是一种Web安全漏洞。攻击者利用该漏洞,在网页中注入恶意代码,等待受害者访问被注入恶意代码的网页。网页中的恶意代码会被浏览器识别,并执行。
wj33333·2023-11-11 13:37

黑客技术-小白自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-11-11 06:27

网络安全自学手册

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知
羊村最强沸羊羊·2023-11-11 06:57

网络安全(黑客)-高效自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百
羊村最强沸羊羊·2023-11-11 06:57

网络安全(黑客技术)学习手册

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-11-11 06:22

Web安全:什么是CSRF攻击?要如何来防范

前言面试官:给我讲讲网站常会受到哪些攻击,怎么去防范呢我:比如XSS攻击,SQL注入等还有CSRF。面试官:好,你给我详细说说CSRF吧。我:。。。。什么是CSRF跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的
网络安全观察·2023-11-11 01:21
上一页 6 7 8 9 10 11 12 13 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他