原创 黑客攻防技術寶典Web實戰篇第2版—第7章 攻擊會話管理
7.1 狀態要求 1、HTTP是無狀態的,基於請求-響應模型,每條消息代表一個獨立的事物。 2、大多數Web站點實際爲Web應用程序,他們允許用戶註冊登錄,購買銷售,記住用戶喜好,它們可以根據用戶的單機和輸入,動態建立的內容提供豐富、多媒
2019-07-31 02:23:40
1
原创 黑客攻防技術寶典Web實戰篇第2版—第2章核心防禦機制
2.1 處理用戶訪問 1、大多數Web應用程序採用三層相互關聯的安全機制處理用戶訪問: ①身份驗證 ②會話管理 ③訪問控制 2.1.1 身份驗證 1、身份驗證機制是應用程序處理用戶訪問的最基本機制,用於確定其真實身份。 2、傳統驗證要求用
2019-07-31 02:23:40
1
原创 黑客攻防技術寶典Web實戰篇第2版—第10章 測試後端組件
10.1 注入操作系統命令 1、許多時候,開發者直接向服務器發送操作系統指令,但如果應用程序向操作系統發送用戶輸入指令,可能受到命令注入攻擊。通常所有的注入命令都可在Web服務器的進程中安全運行,使得攻擊者能夠完全控制整個服務器。 10.
2019-07-31 02:23:40
原创 PHP/HTML混寫的四種方式
PHP作爲一款後端語言,爲了輸出給瀏覽器讓瀏覽器呈現出來,無可避免的要輸出HTML代碼,下文介紹下我用過的三種PHP/HTML混編方法 1.單/雙引號包圍法 這是最初級的方法了,用法就像下面這樣 <?php echo ' <!D
2019-07-31 02:23:40
原创 黑客攻防技術寶典Web實戰篇第2版—第5章 避開客戶端控件
5.1 通過客戶端傳送數據 5.1.1 隱藏表單字段 1、通過對錶單中的數據隱藏,暗中更改數值,造成惡意攻擊。 5.1.2 HTTP cookie 1、HTTPcookie是通過客戶端傳送數據的另一種常用機制,和隱藏表單類似,
2019-07-31 02:23:40
2
原创 黑客攻防技術寶典Web實戰篇第2版—第1章Web應用程序安全與風險
1.1 Web應用程序的發展歷程 早期萬維網僅由站點組成,顯示的是靜態文檔的信息庫。 如今大多數站點是應用程序,服務器與瀏覽器之間雙向信息傳遞。 隨之而來的也有安全威脅。 1.1.1 Web應用程序的常見功能 一些常見功能,不再列舉。 1
2019-07-31 02:23:40
2
原创 黑客攻防技術寶典Web實戰篇第2版—第8章 攻擊訪問控制
8.1 常見漏洞 1、訪問控制漏洞:應用程序允許攻擊者執行某種攻擊者沒有資格執行的操作。各種漏之間的差異在於這個核心漏洞表現方式上的不同,以及檢測他們所使用的技巧不同。 2、訪問控制分類: ①垂直訪問控制:允許各種類型的用戶訪問應用程序的
2019-07-31 02:23:40
2
原创 Burp Suite使用介紹
原貼地址:https://www.cnblogs.com/nieliangcai/p/6692296.html 一、Getting Started Burp Suite 是用於攻擊web 應用程序的集成平臺。它包含了許多工具,併爲這些工具
2019-07-31 02:23:40
原创 REST風格URL
以前就是覺得 /nowamagic/article/article_id 這樣的地址非常的漂亮,但是那只是表象罷了,瞭解深入以後,發現必須有一個客戶端的Ajax Engine和Server端的服務配合,才能實現一個REST風格的應用,下面
2019-07-31 02:23:40
原创 黑客攻防技術寶典Web實戰篇第2版—第3章 Web應用程序技術
3.1 HTTP 3.1.1 HTTP請求 1、所有HTTP消息(請求與響應)中都包含一個或幾個單行顯示的消息頭,然後是一個空白行,最後是消息主體(可選)。 2、每個HTTP請求的第一行由三部分組成 ①說明HTTP方法的動詞,例如 get
2019-07-31 02:23:40
原创 黑客攻防技術寶典Web實戰篇第2版—第6章 攻擊驗證機制
6.1 驗證技術 1、執行驗證採用不同的技術 6.2 驗證機制設計缺陷 6.2.1 密碼保密性不強 1、應用程序常常使用的密碼形式 6.2.2 蠻力攻擊登錄 6.2.3 詳細的失敗消息 1、嘗試不同用戶名和密碼的登錄,
2019-07-31 02:23:39
原创 Web基礎-URI跟URL的區別
轉自:https://blog.csdn.net/simplebam/article/details/72644094 初學java,最近被一個概念搞得頭暈腦脹,就是url和uri的概念和區別,網上查了一大通,發現各種回答眼花繚亂,有百科
2019-07-17 00:04:07
原创 閒談PHP
1、變量作用域 所有函數外部定義的變量,是全局變量。除了函數外,全局變量可以被腳本中的任何部分訪問,要在一個函數中訪問一個全局變量,需要使用 global 關鍵字。 在 PHP 函數內部聲明的變量是局部變量,僅能在函數內部訪問 <?ph
2019-07-17 00:03:56
原创 閒談JS
1、document.write和innerHTML的區別 document.write是直接寫入到頁面的內容流,如果在寫之前沒有調用document.open, 瀏覽器會自動調用open。每次寫完關閉之後重新調用該函數,會導致頁面被重寫
2019-07-03 01:27:55
原创 Java:類加載機制
轉自:https://blog.csdn.net/ln152315/article/details/79223441 前言 一個Java文件從編碼完成到最終執行,一般主要包括兩個過程 編譯 運行 編譯,即把我們寫好的jav
2019-03-07 21:02:31
1