摘要:
未知攻,焉知防?通过前面的课程我们掌握了各种攻击技巧,本课将教会大家如何在企业进行安全建设,达到知攻知防的境界,这也是各个公司最终需要的安全人才。 阅读全文
posted @ 2018-02-24 21:29
KPlayer
阅读(520)
评论(0)
推荐(0)
摘要:
XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击,有效的防护方法就是对输出和输入均做到有效的过滤,如HTML编码,JS转义等手段。 阅读全文
posted @ 2018-02-24 21:24
KPlayer
阅读(526)
评论(0)
推荐(0)
摘要:
SQL盲注,与普通的SQL注入相比,数据库返回的结果不会显示在页面上,只会返回成功/失败或者真/假,这无形中加大了我们注入的难度。 阅读全文
posted @ 2018-02-24 21:18
KPlayer
阅读(404)
评论(0)
推荐(0)
摘要:
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 阅读全文
posted @ 2018-02-24 21:15
KPlayer
阅读(493)
评论(0)
推荐(0)
摘要:
由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过文件上传漏洞上传木马等操作,危害服务器的安全。对于这种漏洞,一是阻止非法文件上传,一是禁止其运行,例如通过文件重命名,压缩重生成,对存储目录执行权限控制,或者存储目录不放在web中等措施。 阅读全文
posted @ 2018-02-24 21:07
KPlayer
阅读(476)
评论(0)
推荐(0)
摘要:
文件包含是指页面利用url去动态包含文件(include或require等),当文件名参数可控但又过滤不严的时候,就容易被利用,有效的方法就是采用白名单的方式。 阅读全文
posted @ 2018-02-24 20:58
KPlayer
阅读(383)
评论(0)
推荐(0)
摘要:
CSRF本质是利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 阅读全文
posted @ 2018-02-24 20:52
KPlayer
阅读(545)
评论(0)
推荐(0)
摘要:
命令注入是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的,遵守对一切输入不可信任的原则,对输入进行严格的校验。 阅读全文
posted @ 2018-02-24 20:43
KPlayer
阅读(532)
评论(0)
推荐(0)
摘要:
暴力破解的核心是“穷举法”,因此,采用token校验,限制登录错误次数,验证码校验都是有效的防止暴力破解的手段。 阅读全文
posted @ 2018-02-24 20:32
KPlayer
阅读(1015)
评论(0)
推荐(0)
摘要:
要想深刻理解WEB安全漏洞,就必须在实战中学习和积累。在一切的开始,我们需要搭建好一个WEB渗透测试环境。 阅读全文
posted @ 2018-02-24 20:19
KPlayer
阅读(575)
评论(0)
推荐(0)
摘要:
在Web安全测试中,借助合适的工具,能够帮助我们提高测试效率、扩展测试思路。本课会给大家介绍浏览器及扩展、代理抓包、敏感文件探测、漏洞扫描、注入探测、目标信息搜集的常用工具用法及测试思路。 阅读全文
posted @ 2018-02-24 20:11
KPlayer
阅读(1450)
评论(0)
推荐(0)
摘要:
万丈高楼平地起,楼能盖多高,主要看地基打的好不好。学习任何知识都是一样的,打好基础是关键,通过本课的学习,你将了解一些常见的Web漏洞,以及这些漏洞的原理和危害,打好地基,为后面建设高楼大厦做好准备。 阅读全文
posted @ 2018-02-24 20:04
KPlayer
阅读(1774)
评论(0)
推荐(0)
浙公网安备 33010602011771号