猫宁！！！

参考链接：http://www.ituring.com.cn/book/885

黑客攻防技术宝典web实战篇是一本非常不错的书，它的著作人之一是burpsuite的作者，课后的习题值得关注，而随书附带有答案。

1. 为什么说应用程序处理用户访问的机制是所有机制中最薄弱的机制？

典型的应用程序使用三重机制（身份验证、会话管理和访问控制）来处理访问。
这些组件之间高度相互依赖，其中任何一个组件存在缺陷都会降低整个访问控制
并访问他机制的效率。例如，攻击者可以利用身份验证机制中的漏洞以任何用户
身份登录，并因此获得未授权访问权限。如果能够预测令牌，攻击者就可以假冒
成任何已登录用户们的数据。如果访问控制不完善，则任何用户都可以直接使用
应该受到保护的功能。

2. 会话与会话令牌有何不同？

会话是服务器上保存的一组数据结构，用于追踪用户与应用程序交互的状态。会
话令牌是应用程序为会话分配的一个特殊字符串，用户需要在连接提出请求的过
程中提交该字符串，以重新确认自己的身份。

3. 为何不可能始终使用基于白名单的方法进行输入确认？

许多时候，应用程序可能会*接受与已知为“良性”输入的列表或模式不匹配
的待处理数据。例如，许多用户的姓名包含可用在各种攻击中的字符。如果应用
程序希望允许用户以真实姓名注册，就需要接受可能的恶意输入，并确保安全处
理这些输入。

4. 攻击者正在攻击一个执行管理功能的应用程序，并且不具有使用这项功能的
任何有效证书。为何他仍然应当密切关注这项功能呢？

攻击者可以利用任何访问控制核心机制中的缺陷未授权访问管理功能。此外，攻
击者以低权限用户身份提交的数据最终将向管理用户显示，因此，攻击者可以提
交一些恶意数据，用于在管理用户查看这些数据时攻破他们的会话，从而对管理
用户实施攻击。

5. 旨在阻止跨站点脚本攻击的输入确认机制按以下顺序处理一个输入：
(1) 删除任何出现的<script>表达式；
(2) 将输入截短为 50 个字符；
(3) 删除输入中的引号；
(4) 对输入进行 URL 解码；
(5) 如果任何输入项被删除，返回步骤(1)。
是否能够避开上述确认机制，让以下数据通过确认？
“><script>alert(“foo”)</script>

是。如果没有第 4 步，此机制将是可靠的，能够过滤其旨在阻止的特定项目。但
是，由于输入在执行过滤步骤后被解码，攻击者只需要对有效载荷中的选定字符
进行 URL 编码，就可以避开这种过滤：
">
如果首先执行第 4 步，或根本不执行该步骤，攻击者将不可能避开上述过滤。

黑客攻防技术宝典web实战篇：核心防御机制习题的更多相关文章

1. 《黑客攻防技术宝典Web实战篇&commat;第2版》读书笔记1：了解Web应用程序

   读书笔记第一部分对应原书的第一章,主要介绍了Web应用程序的发展,功能,安全状况. Web应用程序的发展历程 早期的万维网仅由Web站点构成,只是包含静态文档的信息库,随后人们发明了Web浏览器用来检 ...

2. 黑客攻防技术宝典Web实战篇（二）工具篇DVWA Web漏洞学习

   DVWA是一个学习Web漏洞的很好的工具. DVWA全程是Damn Vulnerable Web Application,还有一个跟它一样好的工具尽在http://www.360doc.com/con ...

3. 黑客攻防技术宝典Web实战篇（二）工具篇

   扫描工具.中间攻击工具.加密解密工具等. 1 TM Thread Module 2 burpsuite 代理.中间攻击.repeatur.spider.暴力破解(intrude).加密.解密.扫描器 ...

4. 黑客攻防技术宝典Web实战篇（一）Web应用程序技术基础

   在开展Web应用程序渗透测试之前请先了解下面列出的这些内容,如果不是很懂的话,请读David Gourley & Brian Totty的HTTP权威指南也叫HTTP:The Definiti ...

5. 黑客攻防技术宝典web实战篇：攻击应用程序架构习题

   猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 假设受攻击的应用程序使用两台不同的服务器:一台应用程序服务器和一台数据库服务器.已经发现一 ...

6. 黑客攻防技术宝典web实战篇：攻击其他用户习题

   猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 在应用程序的行为中,有什么“明显特征”可用于确定大多数 XSS 漏洞? 用户提交的输入在应 ...

7. 黑客攻防技术宝典web实战篇：解析应用程序习题

   猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 当解析一个应用程序时,会遇到以下 URL:https://wahh-app.com/Coo ...

8. 黑客攻防技术宝典Web实战篇（三）web攻击方式总结

   web攻击的手段无非就是使服务器资源耗尽,使服务器无法接收正常请求. 一.DDos攻击 二.DRDos攻击 三.慢攻击 与Ddos攻击相反,慢攻击并不是以多取胜,而是靠保持连接.

9. 黑客攻防技术宝典web实战篇：工具web服务器习题

   猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 在什么情况下 Web 服务器会显示目录列表? 如果请求某目录的 URL 且满足以下条件,W ...

随机推荐

1. artDialog 配置参数

   http://blog.csdn.net/techbirds_bao/article/details/8531083

2. 在CMMI推广过程中EPG常犯的错误&lpar;转）

   本文转自: http://developer.51cto.com/art/200807/86953.htm 仅用于个人收藏,学习.如有转载,请联系原作者. ---------------------- ...

3. C&num;与Swift异步操作的差异

   作为一个从C#转到Swift的小菜鸡...最近做一个简单的请求API解析Json数据的小程序上碰到一堆小问题.尤其是在异步请求的时候,用惯了C#的async/await写法,在写Swift的时候也按着 ...

4. 从Paxos到ZooKeeper-二、ZooKeeper和Paxos

   ZooKeeper为分布式应用提供了高效且可靠的分布式协调服务,提供了诸如tong'yi统一命名服务.配置管理和分布式锁等分布式的基础服务.在解决分布式数据一致性方面,ZooKeeper并没有直接采用 ...

5. ubuntu下安装wireshark

   ubuntu下安装wireshark  download: http://www.wireshark.org/download.html   choose source code 安装编译工具: $s ...

6. vijosP1026毒药？解药？

   hash. 怎么感觉叫状态压缩bfs比较合适呢? #include<cstdio> #include<algorithm> #include<cstring> us ...

7. &lbrack;置顶&rsqb; API相关工作的个人总结&lowbar;工作中琐碎细节的总结二

   续接上篇,今晚又看了看大牛的书,再结合过往工作,总结如下: 1.弃用原理与删除原则做权衡. 2.正确性与易用性的把握. 3.不能因为过度的追求性能提升而违背API的设计原则. 4.兼容性不仅仅是表象的 ...

8. Java对象在JVM中的生命周期

         当你通过new语句创建一个java对象时,JVM就会为这个对象分配一块内存空间,只要这个对象被引用变量引用了,那么这个对象就会一直驻留在内存中,否则,它就会结束生命周期,JVM会在合适的时 ...

9. 音乐ID3 中 专辑封面解析&lpar;APIC帧&rpar;

   ID3V2 中 APIC 帧标识 专辑封面.前几天 百度 谷歌 都没有找到具体的说明.有点小伤人. 最好参考  Android 中的 id3.cpp 以及一个java 开源 id3 库.找到这里的规格 ...

10. WPF界面XAML中的if……else……

    xaml本身并不支持if--else--,要用Converter替代if--else--来实现我们想要的效果,知者请速离开,不要浪费时间   需求:按照Window的WindowState来决定Gri ...