web安全

安全学习笔记-web安全之XSS攻击

web安全之XSS攻击 XSS 即跨站脚本攻击,是 OWASP TOP10 之一。它的全称为 Cross-site scripting,因为 CSS 这个简称已经被占用表示为前端三剑客之一的CSS,所以简写为XSS。 原理 浏览器将用户输入的恶意内容当做脚本去执行,从而导致了恶意功能的执行,这是一种 ... »

liao-lin

SQL注入 - SQLi-Labs靶场过关记录

Less-1 1、看报错类型,确定注入点 ?id=1' order by 4--++ 2、确定数据库 ?id=-1' union select 1,2,3--++ 3、查看数据库 ?id=-1' union select 1,2,database();--++ 4、查看数据库中的表 ?id=-1' ... »

十大web安全扫描工具 - 网络小筑

扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐10大Web漏洞扫描程序,供您参考。1. Nikt »

webtrados

安全测试6_Web安全工具第一节(浏览器入门及扩展)

  今天来学习下浏览器的功能,浏览器是我们经常用到但是功能却很强大的一个东东,我们经常用到的无非是三种(谷歌、火狐、IE)   1、浏览器功能介绍: 下面以谷歌浏览器(Chrome版本为56)为例,介绍下,懂得可以略过,不懂或者有兴趣的可以看看:这个是页面基本介绍 常规安全设置(比如javascript的执行等) 如下方左图或者利用网站权限设置快捷设置如下面右图     or   用浏览器的隐身 »

Web安全-文件上传漏洞

文件上传漏洞是什么  关键字:绕过 文件上传是大部分Web应用都具备的功能,例如用户上传附件,改头像,分享图片等 文件上传漏洞是在开发者没有做充足验证(包括前端、后端)情况下,运行用户上传恶意文件,这里上传的文件可以使木马、病毒、恶意脚本或者Webshell等  环境搭建(及靶机) # 第一次启动 docker pull registry.cn-shanghai.aliyuncs.com/yhs »

[web安全原理分析]-文件上传漏洞基础

简介 前端JS过滤绕过 待更新。。。 文件名过滤绕过 待更新 Content-type过滤绕过 Content-Type用于定义网络文件的类型和网页编码,用来告诉文件接收方以什么形式、什么编码读取这个文件。 不同的文件都会对应不同的Content-Type。例如JPG文件的Content-Type为image/jpeg,PHP文件的Content-Type为application/octet-st »

20145205武钰《网络对抗》web安全基础实践

实验后问题回答 (1)SQL注入攻击原理,如何防御 攻击原理:SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的 防御手段:利用输入规则限制进行防御,不允许特殊字符输入 (2)XSS攻击的原理,如何防御 攻击原理:跨站脚本攻击,允许恶意用户将恶意Script代码注入到网页上,当用户浏览网页时,嵌入其 »

以分布式信息流控制维护Web安全

华盛顿大学计算机科学系刚刚发布了分布式信息流控制维护Web安全”。 Max在演讲中解释说,他观察到一场计算领域的变革正在发生,正从桌面软件向服务器端软件和云计算变迁。 但他提醒道: Web软件是错漏不断的,为攻击者发现和利用。结果技术数据被盗或者被毁坏。 很多人都使用没法做静态分析的动态语言,很随意地使用第三方的代码、插件……照直说吧,为了让网站快速上线运行,我们做了很多草率的拼凑。 他 »

# 2017-2018-2 20155231《网络对抗技术》实验九: Web安全基础实践

实验要求: 本实践的目标理解常用网络攻击技术的基本原理。Webgoat实践下相关实验。 实验内容: (1)WebGoat Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie等; OWASP(Open Web Application Security Project)是 »

白帽子讲Web安全

白帽子讲Web安全 吴翰清著 ISBN 978-7-121-16072-1 2012年3月出版 定价:69.00元 16开 448页 宣传语:安全是互联网公司的生命,也是每一位网民的最基本需求。一位天天听到炮声的白帽子和你分享如何呵护生命,满足最基本需求。这是一本能闻到硝烟味道的书 内 容 简 介 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的 »

20155327 Exp9 Web安全基础

基础问题回答 (1)SQL注入攻击原理,如何防御 SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。 1、 普通用户与系统管理员用户的权限要有严格的区分。 2、 强迫使用参数化语句。 3、 加强对用户输入的验证。 4、使用SQL Server数据库自带的安全参数。 5、使用正则表达式过滤传入的参数,对一些包含sql注 »

web安全攻防渗透测试实战指南笔记

一.渗透测试之信息收集 ~1.1搜集域名信息——1.1.1whois查询:注册商、邮箱电话、联系电话、更新创建过期时间、域名服务器、DNS在线whois查询的网站有爱站工具网、站长之家、VirusTo »

l2sec

20155235 《网络攻防》 实验九 Web安全基础

实验内容 SQL注入攻击 XSS攻击 CSRF攻击 WebGoat WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,目前提供的训练课程有很多,包含了XSS、线程安全、SQL注入等,我们本次的实验就是在WebGoat平台上进行。 WebGoat分为简单版和开发板,简单 »

【Web安全】越权操作——横向越权与纵向越权

参考:http://blog.csdn.net/github_39104978/article/details/78265433 看了上面的文章,对越权操作的概念还是比较模糊,不明确实际场景。 用户登录模块中,假设用户在忘记密码(未登录)时,想要重置密码。假设接口设计为传参只用传用户名和新的密码。 localhost:8080/user/forget_reset_password.do?use »