web安全基础

主机系统安全防护:防火墙控制

Web是一个分布式系统,一个站点多个主机布置,一主机布置多个站点:并发,异步,同步

主机安全配置文件修改与强化

web站点数据验证逻辑的常用技巧:功能性代码+安全性代码

web核心漏洞:用户提交任意数据

截取数据包修改请求参数,cookie,http信息头

web核心防护措施:

web实现功能:

购物(商品信息发布),社交,银行支付,资源搜索,博客,web邮件,交互论坛

常见漏洞:

不完善的身份认证逻辑

不完善的数据访问控制

SQL注入

跨站点脚本攻击用户:针对其他用户的攻击

信息泄露

核心安全机制:

处理数据与功能的访问控制:游客,会员,管理员:身份认证,会话管理(session token ,http cookie),访问控制()

处理用户输入:编码(html编码,url编码,js编码),转码,转义,特征检测,白名单(正则表达式)

处理攻击者:报告与处理运行时错误信息的展现,审计运行日志与日志记录设置

管理web应用程序功能实现逻辑

安全基础

http请求头消息:字段修改与绕过;请求方法的限制?(Apache配置文件get,post,head,trace,options,put)等请求方法的限制 **Apache|Nginx配置文件的安全修改 **

cookie 不同语言的cookie设置属性:expires,domain,path,secure,httpOnly)php,python,java

http| https :SSL(安全套接层),TLS(传输层安全)

  • http验证:Basic,NTLM,Digest

  • 网站web开发平台:java平台,ASP.NET,PHP

    cookie方式: JSESEESIONID,ASPSESSSIONID(Microsoft_IIS),ASP.NET_SessionId(ASP.NET) PHPSESSID

编码方式:

  • URL编码%XX(ASCI 0x20-0x7e)
  • Unicode编码(%u2215)16位
  • HTML编码:” ‘ & < > ” A A(&字符实体,&#加任意字符的ASCII十进制 | s十六进制进行HTML编码) 绕过跨站脚本攻击
  • Base64编码 ==结尾
  • 十六进制编码:daf == 646166 cookie传送
  • javascript编码

攻击过程与工具使用

信息收集:枚举应用功能+分析安全机制(前后端处理)

  • burpsuit + nmap + nessus + google搜索语法

第三方组件:购物车,登录机制组件的开源代码

什么是厚客户端组件?Java applet,ActiveX控件,Flash

原文链接:https://www.cnblogs.com/0xthonsun/p/9876119.html

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18592

(0)
上一篇 2023年10月8日
下一篇 2023年10月8日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml