Web API 入门指南 - 闲话安全
Web API入门指南有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着Web API的安全性来展开,介绍一些安全的基本概念,常见安全隐患、相关的防御技巧以及Web API提供的安全机制。目录Web API 安全概览安全隐患1. 注入(Injection)2. 无效认证...
web安全类
web安全类主要分为两个部分:CSRF和XSS一、CSRF基本概念:CSRF,通常称为跨站请求伪造,英文名Cross-site request forgery 缩写为CSRF;怎么防御1、Token验证:那个伪造的请求只会自动携带cookie,不会自动携带token,所以验证时,如果没有token,...
ASP.NET Web API(三):安全验证之使用摘要认证(digest authentication)
在前一篇文章中,主要讨论了使用HTTP基本认证的方法,因为HTTP基本认证的方式决定了它在安全性方面存在很大的问题,所以接下来看看另一种验证的方式:digest authentication,即摘要认证。系列文章列表ASP.NET Web API(一):使用初探,GET和POST数据ASP.NET ...
常见Web安全漏洞--------XSS 攻击
1,XSS 攻击XSS攻击使用Javascript脚本注入进行攻击例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。<script>alert('sss')</script><script>window.lo...
常见Web安全漏洞--------CSRF
1,CSRF(Cross Site Request Forgery, 跨站域请求伪造),也可以说是模拟请求。2,黑客获取到了token 令牌,发送恶意模拟请求,攻击网站,防御方法可以参考api 接口幂等设计3,防止伪造token,在一些特别需要注意的接口,如支付,转账等需要加上短信验证,或者人脸识别
常见 WEB 安全漏洞(转)
SQL注入成因:程序未对用户的输入的内容进行过滤,从而直接代入数据库查询,所以导致了sql 注入漏洞 。思路:在URL处可以通过 单引号 和 and 1=1 and 1=2 等语句进行手工测试sql注入 。Post 注入:比如后台登录框输入单引号测试注入,报错的话说明存在注入可以直接抓包,用工具来完...
web前端安全 XSS跨站脚本 CSRF跨站请求伪造 SQL注入
web安全,从前端做起,总结下web前端安全的几种技术:1,XSS XSS的全称是Cross Site Scripting,意思是跨站脚本,XSS的原理也就是往HTML中注入脚本,HTML指定了脚本标记XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句。另一类则是来...
Web安全相关(一):CSRF/XSRF(跨站请求伪造)和XSS(跨站脚本)
XSS(Cross Site Script):跨站脚本,也就是javascript脚本注入,一般在站点中的富文本框,里面发表文章,留言等表单,这种表单一般是写入数据库,然后再某个页面打开。防御:1,在用户表单输入的数据进行过滤,对javascript进行转义,然后再存入数据库;2,在信息的展示页面,...
Web安全相关(二):跨站请求伪造(CSRF/XSRF)
简介CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用...
Asp.Net MVC 4 Web API 中的安全认证-使用OAuth
各种语言实现的oauth认证: http://oauth.net/code/上一篇文章介绍了如何使用基本的http认证来实现asp.net web api的跨平台安全认证。 这里说明一个如何使用oauth实现的认证。oauth大家可能不陌生。那么这里需要注意的是我们使用的是.net平台一个比较好的开...
web安全:click jacking
点击劫持 click jacking通过iframe加载被攻击网站到黑客自己维护的网站通过z-index叠加和position定位,将2个网站的信息堆叠在一个立体投影面上,通过opacity设置透明度。诱导普通用户点击按钮。防御:js防御:if (top.location != self.loca...
Linux下SVN部署/安全及权限配置,实现web同步更新
转自:http://www.cnblogs.com/me115/archive/2013/04/07/3002058.html本文包含以下内容:SVN服务器安装SVN权限管理SVN使用SASL加密SVN上传时同步其它目录需求在WEB线上版本管理的基础上,能够在代码上传之后,立刻通过WEB访问,查看修...
Web API系列(二)接口安全和参数校验
以前简单介绍过web api 的设计,但是还是有很多朋友问我,如何合理的设计和实现web api。比如,接口安全,异常处理,统一数据返回等问题。所以有必要系统的总结总结 web api 的设计和实现。由于前面已经介绍过web api 的参数和返回格式的设计,《Web API系列(一)设计经验与总结》...
Web安全篇之SQL注入攻击
在网上找了一篇关于sql注入的解释文章,还有很多技术,走马观花吧文章来源:http://www.2cto.com/article/201310/250877.htmlps:直接copy,格式有点问题~大家早上好!今天由我给大家带来《web安全之SQL注入篇》系列晨讲,首先对课程进行简单介绍,SQL注...
Web安全XSS、CSRF和SQL注入
SQL注入SQL注入是以用户的输入作为sql语句的一部分,如后端接收到用户的请求数据后,不经过数据转义,就把数据拼接到SQL中执行,容易导致SQL的语义被篡改,即受到攻击了。解决办法是对接收的数据进行转义即可,如果使用框架,则基本不用考虑sql注入攻击了,框架已经实现了相关处理了,能保证安全。XSS...
[笔记]猿计划(WEB安全工程师养成之路系列教程):02HTML头部标签
1.什么是HTML?HTML是用来描述网页的一种语言HTML——超文本标记语言(Hyper Text Markup Language)HTML不是编程语言,是一种标记语言标记语言是一套标记标签,HTML使用标记标签来描述网页2.基础标签<html>HTML文件均以<html>...
2、Web应用程序中的安全向量 -- CSRF/XSRF(跨站请求伪造)
CSRF的概念可以分为两类:XSS和混淆代理。混淆代理中的“代理”是指用户的浏览器。CSRF是基于浏览器的工作方式运作的。用户登录到一个站点后,用户的信息将会存储在cookie中(会话cookie或者持久cookie),通过这两种cookie中的任何一种,浏览器会告诉站点这是一个真是用户发出的请求。...
2019全国大学生信息安全竞赛部分Web writeup
JustSoso0x01审查元素发现了提示,伪协议拿源码/index.php?file=php://filter/read=convert.base64-encode/resource=index.php <?php error_reporting(0); $file = $_GET["fil...
[转]浅谈php web安全
原文地址:http://blogread.cn/it/article/6086?f=wb前言:首先,笔记不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全...
loadrunner录制时web时,安全证书问题
测试环境:win7+LoadRunner11+ie9遇到的问题:用LoadRunner录制时,打开百度,总是报安全证书问题,如图所示解决方法:Tools——Recording Options——port mapping中的capture level 设置为 winnet level data即可...