web安全_web安全csdn-程序员宅基地

技术标签: web安全  安全  项目实战  

web应用

认证:验证用户是否合法, 比如登录密码认证,人脸认证,短信验证,指纹;

鉴权:验证用户的操作权限,对应角色,不同的角色拥有不同的权限;

审计:后台服务会记录用户的操作,方便日后追踪定责;比如对网站的恶意攻击者发起法律维权;

XSS

跨站脚本攻击;

利用浏览器漏洞,通过执行黑客编写的js脚本来。可以窃取用户的cookie 密码 按键轨迹;

防护:用户的一切输入皆不可信。验证用户的输入,黑名单,白名单。特别的如果通过过滤用户输入,比如过滤一切<javasrcipt>和</javasrcipt>标签,如果黑客输入<java<javasrcipt></javasrcipt>srcipt>,过滤后仍然存在字符串<javascript>。建议使用白名单或者输出时过滤;

CSRF

跨站伪造请求;

黑客通过诱导用户访问某个网站,让用户浏览器发起一个伪造请求,执行黑客定义的操作;

SSRF

服务端伪造请求;

黑客输入内网url,服务端执行该请求,获取服务端内网信息;

同源策略

OP,基于同一源下的请求只能访问当前源下的资源,比如ajax的请求如果请求其他源的资源,则会提示跨域错误。同源要素:协议+域名+端口,比如http+www.baidu.com+80;同一ip有多个域名,也会存在跨域;

SQL注入

通过拼接sql参数导致sql被恶意执行;

解决方案:java中通过PrepareStatement预解析后再执行;

序列化漏洞

在将字符串或者字节流转换成对象时,需要调用序列化组件的相关默认方法,黑客通过输入数据构造恶意方法,导致方法被调用,进而在服务端执行了恶意命令,拥有了服务端数据权限;

拥有了服务器的数据权限,即拥有了控制整个系统的权限!

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010355502/article/details/123447828

智能推荐

目标跟踪配置(三)-评价指标-benchmark(更新中,关注请收藏。。。)_vot-tir15标注-程序员宅基地

文章浏览阅读3.5k次,点赞2次,收藏23次。开端介绍VOTVOT13、VOT14、VOT15、VOT16,每一次都有很大变化,VOT13只有16组序列,而当时OTB-50刚刚出来,所以VOT13没多大影响力,VOT14比VOT13增加样本集至25组,并且重新标注了样本,选取多边形区域进行标注,能反映出OTB反映不了的问题,这才收到大家的关注,不过大家当时还是看OTB多一些。VOT15扩充样本集至60组,并开设了tir热成像跟踪子系列,其评价方法也有改变,VOT15开始火起来了。到VOT16,没有对样本集做修改,只是使用了自动标注样本的方法对样本重_vot-tir15标注

builder模式 c++_c++ builder模式-程序员宅基地

文章浏览阅读1.6k次。builder模式:对象创建型模式意图:将一个复杂对象的构建与它的表示分离,使得同样的构建过程可以创建不同的表示。适用性:1 当创建复杂对象的算法应该独立于该对象的组成部分以及它们的装配方式时。2 当构造过程必须允许被构造的对象有不同的表示时参与者:Builder: 为创建一个Product对象的各个部件指定抽象接口ConcreteBuilder:实现Builder 的_c++ builder模式

sql: sql developer使用-程序员宅基地

文章浏览阅读54次。在sql developer中登陆某数据库,在procedure里面加入一个proc,种类选ARBOR:CREATE OR REPLACE PROCEDURE PROCEDURE23IS NAM VARCHAR2(100);BEGIN DBMS_OUTPUT.PUT_LINE('NAME:'|| NAM);END;  sql developer的命令..._sql developer执行student.sql

软件实施工程师项目经验(转)_实施工程师项目案例-程序员宅基地

文章浏览阅读2.7w次,点赞69次,收藏210次。在项目实施的时候,有些独特的地方,需要有独特的工具来帮助。前天晚上,和一位做了多年实施项目带领的朋友吃饭。 我笑着跟他说:实施,能不能不实施?!不去人,也不搞实施,把软件卖了就OK,你们做好IT咨询就可以,把什么数据准备、培训、协调业务部门和信息科需求、推动上线、报表制作都让客户做。咱也不赚他的实施费用。因为你们是个合伙成立的小公司,你们如果也是从开发到定制化到实施到支持,你_实施工程师项目案例

【图形学与游戏编程】开发笔记-基础篇2:DX11初始化_dx9 device reset dx11-程序员宅基地

文章浏览阅读4.7k次,点赞4次,收藏6次。(本系列文章由pancy12138编写,转载请注明出处:http://blog.csdn.net/pancy12138)这篇文章应该属于开始编程的第一节了,这一节我们将要讲解如何使用C++初始化directx,以及一些新的调试技巧。因为windows程序框架相关的内容在入门篇的时候讲过了,而且也非常简单,如当初所说,大部分都是些傀儡代码,没什么难处。大家很容易就能看懂。所以这里不会再继续讲_dx9 device reset dx11

阿里面试题-程序员宅基地

文章浏览阅读69次。为什么80%的码农都做不了架构师?>>> ..._阿里笔试题构造an

随便推点

Word学位论文编排全面格式 排版 页眉页脚,不同页码_论文排版 页眉页脚-程序员宅基地

文章浏览阅读1.6k次。以word2010为例:第一步 在要插入页眉页脚的页(页最后面)地方插入分节符 第二步 依次选择 “插入”→“页眉”→“编辑页眉(很重要,)”→(鼠标滑到第二页,第一页链接时灰色的,应为前面没有页)把第二页的链接到前一页去掉,此时 当前页的页眉页脚就不会影响第二页以及后面页了67_论文排版 页眉页脚

Eigen常用函数_eigen head-程序员宅基地

文章浏览阅读4.9k次,点赞17次,收藏49次。#include <Eigen/Dense> // 基本用法 // Eigen // Matlab // 注释 x.size() // length(x) // 向量的长度 C.rows() // size(C,1) // 矩阵的行数 C.cols() ..._eigen head

Python图片格式转换,图片压缩-程序员宅基地

文章浏览阅读412次。PyQt图片格式转换,图片压缩_python图片格式转换

phantomjs安装_phantomjs 默认安装到哪个目录下了-程序员宅基地

文章浏览阅读445次。本人经过一下午的各种百度,各种下载各种安装,目前安装好,把一些可用的资源及安装步骤进行一下整理首先安装旧版firefoxhttp://ftp.mozilla.org/pub/firefox/releases/选择firefox47,下载安装Firefox浏览器需安装geckdriver下载地址:https://github.com/mozilla/geckodriver/r..._phantomjs 默认安装到哪个目录下了

shiro学习笔记三:shiro与spring集成-程序员宅基地

文章浏览阅读99次。一、项目说明 项目环境:jdk1.7+tomcat7+idea2018+maven+shiro1.3.2 源代码github地址:https://github.com/tmAlj/shiro/tree/master/ssms 实现目标:通过shiro与spring+springmvc+m..._shiro jdbcrealm spring

Java 标准类库列表_imageio partiallyorderedset-程序员宅基地

文章浏览阅读5.9k次。java/java/applet/java/applet/Appletjava/applet/AppletContextjava/applet/AppletStubjava/applet/AudioClipjava/awt/java/awt/AWTErrorjava/awt/AWTEventjava/awt/AWTEventMulticaster

推荐文章

热门文章

相关标签