web安全

白帽子讲web安全-访问控制

whoami权限控制,或者说访问控制,抽象的说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。在网络中:为了保护网络资源的安全,一般都是通过路由设备或者防火墙建立基于IP的访问控制。在操作系统:对文件的访问,采用访问控制列表。在web应用中:有基于URL的访问控制,基于方法的访问控制,基于数据的访问控制。垂直权限管理(基于角色的访问控制,包含URL和方法)访问控制实际
北邮小菜鸡·2023-11-26 03:23

web安全-sql注入

sql注入一、sql注入概述1、什么是sql注入2、sql注入出现的原因二、sql注入危害三、sql注入类型四、sql注入演示0、注入前须知1、联合查询2、报错注入(1)updatexml(1,1,1)(2)extractvalue(1,1)(3)floor()3、盲注五、开源网站sql注入复现1、cmseasy2、qibo3、discuz一、sql注入概述  SQL注入是Web层面最高危的漏洞之
先剃度再出家·2023-11-25 18:37

安全测试之sql注入

目录1.概述1.1web安全渗透测试分类web数据库安全(sql注入漏洞)web应用服务器安全(文件上传漏洞,文件包含漏洞)web客户端安全(XSS跨站攻击)1.2sql注入原理1.3sql注入危害1.4sql
jy...·2023-11-25 17:05

Web安全】sql注入代码分析

sql注入代码分析文章目录sql注入代码分析1.Union注入2.布尔盲注3.报错注入4.时间盲注5.堆叠查询注入6.二次注入7.宽字节注入8.Cookie注入9.base64注入10.XFF注入参考《Web
麦当当爷爷·2023-11-25 17:54

Javaweb安全——Fastjson反序列化利用

Fastjson前置知识反序列化函数Objectobj=JSON.parse();//解析为JSONObject类型或者JSONArray类型Objectobj=JSON.parseObject("{...}");//JSON文本解析成JSONObject类型Objectobj=JSON.parseObject("{...}",Object.class);//JSON文本解析成Object.cla
Arnoldqqq·2023-11-25 15:25

《白帽子讲web安全

第十四章PHP安全文件包含漏洞是“代码注入”的一种。“代码注入”这种攻击,其原理就是注入一段用户能控制的脚本或代码,并让服务器端执行。“代码注入”的典型代表就是文件包含(FileInclusion)。文件包含可能会出现在JSP、PHP、ASP等语言中常见的导致文件包含的函数如下。PHP:include(),include_once(),require(),require_once(),fopen(
测试开发-东方不败之鸭梨·2023-11-25 13:47

web安全-信息收集之使用Google Hacking语法探测敏感信息

目录一、介绍二、逻辑运算符+-~.*""|或OR三、基本语法intext:keyallintext:keyintitle:keyallintitle:keycache:urlfiletype:info:inurl:site:related:url四、高级案例intitle:管理登录filetype:phpsite:baidu.comsite:baidu.comintitle:登陆intitle:"
ranzi.·2023-11-25 13:15

前端vue项目部署到云服务器教程

安装命令:yuminstall-ypcrepcre-devel2、zlib安装安装命令:yuminstall-yzlibzlib-devel3、安装opensslopenssl是web安全通信的基石,没有
晚风914·2023-11-25 13:35

中职组网络安全-PYsystem003.img(环境+解析)

web安全渗透1.通过URL访问http://靶机IP/1,对该页面进行渗透测试,将完成后返回的结果内容作为flag值提交;访问该网页后发现F12被禁用,使用ctrl+shift+i查看ctrl+shift
m0_46056107·2023-11-25 11:08

中职组网络安全-web-PYsystem003.img-(环境+解析)

web安全渗透1.通过URL访问http://靶机IP/1,对该页面进行渗透测试,将完成后返回的结果内容作为flag值提交;访问该网页后发现F12被禁用,使用ctrl+shift+i查看ctrl+shift
m0_46056107·2023-11-25 11:07

渗透武器库--burpSuite实战(最强web安全工具,没有之一)

点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介BurpSuite是用于攻击web应用程序的集成平台,包含了许多工具。BurpSuite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP消息、持久性、认证、代理、日志、警报。该工具在kali中有集成,kali系统安装方式:渗透利器--最新版kali2020系统安装(超
TaibaiXX1·2023-11-25 07:34

白帽子讲web安全-注入攻击

前言一个安全设计原则:数据与代码分离原则。他就是专门为了解决注入攻击而产生的。注入攻击的本质,是把用户输入的数据当做代码执行,有两个关键条件:第一个是用户能够控制输入,第二个是原本程序要执行的代码,拼接了用户输入的数据。SQL注入拼接过程很重要,正因此才导致了代码的注入。在SQL注入的过程中,如果网站的web服务器开启了错误回显,则会为攻击者提供极大地便利。1盲注回显关闭后,攻击者必须找到一个方法
北邮小菜鸡·2023-11-25 05:19

网络安全(黑客技术)—小白自学手册

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-11-24 22:38

网络安全(黑客)—自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-11-24 22:06

0基础能不能转行做网络安全?网络安全人才发展路线

网络安全是一个很大的概念,包含的东西也很多,比如web安全,系统安全,二进制安全,无线安全、数据安全、移动安全、工控安全、渗透测试,ctf,售前售后,运维安全,样本分析、代码审计、密码算法、等保测评等等等等等等
学编程的头没秃·2023-11-24 16:00

想问问各位大佬,网络安全这个专业普通人学习会有前景吗?

这些岗位包括安全服务、安全运维、渗透测试、web安全、安全开发和安全售前等。每个岗位都有自己的要求和特点,您可以根据自己的兴趣和能力来选择最适合您的岗位。
学编程的头没秃·2023-11-24 16:44

[web安全]黑客攻防技术宝典-浏览器实战篇--钓鱼攻击

钓鱼攻击是获得用户敏感信息的一种方法。钓鱼攻击的目标通常是在线银行用户、PayPal、eBay等。主要形式:1.电子邮件钓鱼群发邮件,欺骗用户点击恶意的链接或附件,获取有价值的信息。2.网站钓鱼在网站上伪造一个网站,通常是模仿合法的某个网站。为了欺骗用户点击这个网站还会采取些辅助技术,比如钓鱼邮件,短信,电话啊。3.鱼叉式钓鱼经常也需要使用一个欺骗性的网站,但诱饵针对一小群目标受众。4.鲸钓目标为
你就像只铁甲小宝·2023-11-24 07:03

Web安全2.2:Web工作流程、HTTP协议(GET、POST请求)

文章目录Web安全2.2:Web工作流程、HTTP协议(GET、POST请求)一、Web工作流程:DNS解析:二、HTTP协议:1、URL:2、HTTP协议:3、HTTP请求:4、HTTP的响应(状态码
Slash · Young·2023-11-24 07:05

常见六大Web安全问题

一、XSSCross-SiteScripting(跨站脚本攻击)简称XSS(因为缩写和CSS重叠,所以只能叫XSS),是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全。1.1原理XSS的原理是恶意攻击者往Web页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入
一天一丢丢·2023-11-24 06:25

网络安全(黑客)—自学手册

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-11-23 22:57

网络安全之渗透测试入门准备

渗透测试入门所需知识操作系统基础:Windows,Linux网络基础:基础协议与简单原理编程语言:PHP,pythonweb安全基础渗透测试入门渗透测试学习:1.工具环境准备:①VMware安装及使用;
你玩个der·2023-11-23 18:17

网络安全(黑客)自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程
白猫不黑·2023-11-23 07:50

web安全-命令执行漏洞

一.PHP常见的命令执行函数1.system()函数system()函数可以用来执行一个外部的应用程序,返回执行的结果的最后一行,且将执行结果回显到标准输出中函数原型:system(string$command,int&return_var)//command参数是要执行的命令,//return_var用来存放命令执行后的状态码,可不写该参数2.exec()函数可以用来执行一个外部的应用程序,返回
Pattie.·2023-11-23 05:22

Web安全--反序列化漏洞详解(php篇)

0x00简介序列化是将一个对象转换为字符串以便存储传输的一种方式,反序列化则是将一段字符串转换为一个对象供程序使用,是序列化的逆过程。在php中,序列化和反序列化所对应的函数为serialize()和unserialize()。0x01漏洞原理序列化和反序列化本身没有问题,当程序进行反序列化时,会自动调用一些函数,例如__wakeup(),__destruct()等函数(称为魔术方法)。如果传入u
B1u_·2023-11-22 23:20

网络安全(黑客)—自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-11-22 13:18

网络安全大厂面试真题库(求职必备!)

一、web安全岗面试题1.1、什么是SQL注入攻击?如何防止SQL注入攻击?S
羊村最强沸羊羊·2023-11-21 14:16

网络安全(黑客)—高效自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-11-21 14:12

[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(八)暴力破解相关面试题

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-11-21 07:12

中间件安全:Apache Tomcat 弱口令.(反弹 shell 拿到服务器的最高控制权.)

通过弱口令登录后台,部署war包geshell.目录:中间件安全:ApacheTomcat弱口令.ApacheTomcat弱口令:靶场准备:Web安全:Vulfocus靶场搭
半个西瓜.·2023-11-21 05:40

常见Web安全

一.Web安全概述以下是百度百科对于web安全的解释:Web安全,计算机术语,随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在
luming.02·2023-11-21 02:22

软件安全测试-Web安全测试详解-XSS攻击

目录1.XSS攻击1.1XSS攻击原理1.2XSS能做什么1.3XSS三种类型1.4XSS三种途径1.5XSS测试方法1.5.1查看代码1.5.2准备测试脚本1.5.3自动化测试XSS漏洞1.5.4XSS注入常用语句1.6XSS漏洞防范h31.6.1对输入和URL参数进行过滤(白名单和黑名单)1.6.2HTML实体编码1.63对输出内容进行编码1.6.4浏览器中的XSS过滤器1.XSS攻击1.1X
全栈开发与测试·2023-11-20 17:32

网络安全工程师毕业答辩杂记

目录01数通技术知识要点...102渗透测试基础...103渗透测试环境搭建与工具使用...104信息收集...105web安全...206不定性拓展内容...207应急响应...208安全基线...309
告诉桃花不用开了·2023-11-20 16:14

XSS靶场漏洞实践及总结

XSS全称跨站脚本(CrossSiteScripting),较合适的方式应该叫做跨站脚本攻击跨站脚本攻击是一种常见的web安全漏洞,它主要是指攻击者可以在页面中插入恶意脚本代码,当受害者访问这些页面时,
走错说爱你·2023-11-20 11:00

关于web安全开发之摘要认证

为什么需要认证经由HTTP协议进行通信的数据大都是未经加密的明文,包括请求参数、返回值、cookie、head等数据,因此,外界通过对通信的监听,便可轻而易举地根据请求和响应双方的格式,伪造诸求与响应,修改和窃取各种信息。相对于基千TCP协议层面的通信方式,针对HTTP协议的攻击门槛更低。因此,基于HTTP协议的Web与SOA架构,在应用的安全性方面需要更加重视。经由浏览器的访问请求,可以通过浏览
先生zeng·2023-11-20 11:50

关于web安全开发之签名认证

签名认证的原理1.客户端请求数宇签名生成与摘要认证的方式类似,由于传递端和接收端都认为HTTP协议的请求参数是无序的,因此对于签名认证来说,客户端与服务端双方需要约定好参数的排序方式。请求的参数经过排序后,再将参数名称和值经过一定的策略组织起来,这时不再是加上secret,而是直接通过约定的摘要算法来生成数字摘要,并且使用客户端私钥对数字摘要进行加密,将加密的密文传递给服务端。代码实现:Java的
先生zeng·2023-11-20 07:42

安全测试===burpsuit指南

网址:https://www.gitbook.com/book/t0data/burpsuite/details引子刚接触web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了BurpSuite
软件测试技术·2023-11-20 04:48

2024年山东省职业院校技能大赛中职组“网络安全”赛项竞赛试题-B

A、B模块A-1登录安全加固180分钟200分A-2本地安全策略设置A-3流量完整性保护A-4事件监控A-5服务加固A-6防火墙策略B-1Windows操作系统渗透测试400分B-2数字取证调查B-3Web
旺仔Sec·2023-11-20 00:58

Web安全研究(五)

AutomatedWebAssemblyFunctionPurposeIdentificationWithSemantics-AwareAnalysisWWW23文章结构introbackgroundsystemdesignabstractiongenapplyingabstractionsclassifierdatacollectionandhandlingdataacquisitionstat
西杭·2023-11-19 23:32

【信息安全】浅谈三种XSS(跨站脚本攻击)的攻击流程与防御措施

XSS跨站脚本攻击(Cross-SiteScripting,简称XSS)是一种常见的Web安全漏洞,攻击者通过在Web应用中注入恶意脚本,使得浏览器在解析页面时执行该脚本,从而实现攻击目的。
HEX9CF·2023-11-19 21:34

HTTP协议

文章目录前言一、HTTP基础要点内容二、协议结构和通信原理要点内容三、特性、使用要点内容四、构建应用要点内容五、安全、HTTPS要点内容六、功能追加协议要点内容七、Web安全要点内容WASC将web威胁分六类总结前言一
李海成·2023-11-19 14:52

2021年中职“网络安全“江西省赛题—A模块解析

如何生成可参考右边的帮助文档2021年中职"网络安全"江西省赛题—A模块解析A模块基础设施设置/安全加固(200分)A-1:登录安全加固1.密码策略(web)2.登录策略(web)3.用户安全管理(web)A-2:Web
acaciaf·2023-11-19 05:39

2022年-2023年中职网络安全web渗透任务整理合集

2022年中职网络安全web渗透任务整理合集目录2022年中职网络安全web渗透任务整理合集跨站脚本渗透-1Web应用程序文件包含跨站脚本渗透-2Web隐藏信息获取Web安全之综合渗透测试服务渗透测试Web
旺仔Sec·2023-11-19 05:30

Web前后端漏洞分析与防御

第1章课程介绍试看2节|15分钟介绍安全问题在web开发中的重要性,并对课程整体进行介绍收起列表视频:1-1Web安全课程介绍(09:24)试看视频:1-2项目总览(04:47)第2章环境搭建2节|26
你想要的我都有008·2023-11-19 00:52

初识web安全3--常见web安全隐患

0x01安全隐患原理web安全隐患与web应用的功能息息相关,大多数web安全隐患是由于数据与命令的区分不严格所造成的!比如注入型隐患web应用中传递的信息多数是文本格式。
kdist·2023-11-17 10:05

网络安全(大厂面试真题集)

一、web安全岗面试题1.1、什么是SQL注入攻击?如何防止SQL注入攻击?S
羊村最强沸羊羊·2023-11-17 09:09

白帽子讲web安全笔记——XSS(二)

XSS构造技巧利用字符编码由于采用GBK/GB2312编码%c1\长两个字符组合在一起会成为一个新的Unicode,会变成一个字符从而绕过系统的安全检查。绕过长度限制假设下面的代码存在一个漏洞那下面的XSS构造就会失效">alert(/xss/)重新构造利用攻击时间来缩短所需要的字节数"onclick=alert(1)//但是利用时间缩短的字节数是有限的,最好的办法是把XSSPayload写到别处
奶茶里的红豆·2023-11-16 21:45

白帽子讲web安全笔记

黑客精神:分享,自由,免费安全人员:必定是在一个不断分解问题并且再对分解问题逐个解决。安全问题:本质是信任问题。安全过程:安全是一个持续的过程,这个过程中没有银弹。安全要素:完整性可用性机密性(可审计性不可抵赖性)安全评估:资产登记划分威胁分析风险分析确认解决方案资产等级划分:首先我们要明白我们的要保护的目标是什么,核心的互联网安全问题就是数据的安全,划分资产等级也就是划分数据重要的安全程度,通过
weixin_34097242·2023-11-16 21:44

白帽子讲web安全 笔记(一)

第一章我的安全世界观漏洞利用代码英文“exploit”(开发;剥削;利用),通过exploit实现网络攻击获取root权限是最常见的攻击模式。早期互联网中,Web并非主流应用,相对而言,基于SMTP、POP3、FTP、IRC等协议的服务拥有绝大多数用户。早期系统软件对黑客的吸引力远大于web,防火墙、ALC(访问控制列表)等技术的兴起改变了互联网安全格局,运营商、防火墙对网络的封锁使暴露在互联网上
秋水木华·2023-11-16 21:14

《白帽子讲web安全》读书笔记

安全世界观安全的本质是信任问题。安全是一个持续的过程,不可能一劳永逸。安全三要素:机密性,完整性,可用性实施安全评估:资产等级划分,威胁分析(微软STRIDE模型),风险分析(DREAD),确认解决方案。互联网安全的核心问题是数据安全问题设计安全方案SecureByDefault原则黑白名单最小权限原则纵深防御原则数据与代码分离原则(适用于由于注入引发的安全场景)不可预测性原则浏览器安全同源策略浏
人间且慢行呀·2023-11-16 21:43

《白帽子讲Web安全》学习笔记

一、为何要了解Web安全最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了)。
网络安全负总裁·2023-11-16 21:12
上一页 6 7 8 9 10 11 12 13 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他