随笔分类 -  Web应用安全

摘要：1.输入处理 输入处理为业务逻辑处理之前的数据准备阶段。 a.检验字符编码的有效性 b.必要时转换字符编码 c.检验参数字符串的有效性 检验字符编码：每种语言都有检验字符编码的函数，再输入处理中使用相应函数进行检验。 转换字符编码：转换字符编码的方法因编程语言而不同，可分为自动转换字符编码的语言和在 阅读全文

摘要：1.功能与隐患的对应关系 安全隐患和Web应用的功能有关，在程序设计或编写代码时，根据此时正在实现的功能对对应的安全隐患采取措施。 Web应用的普遍形式为，首先确定文本的框架结构，然后再将数据填入其中。 SQL注入产生的原因为，在被认定为数据的位置插入了单引号使得数据部分结束，从而更改了SQL语句的 阅读全文

摘要：1.主动攻击与被动攻击 主动攻击：攻击者直接攻击Web服务器，SQL注入攻击。 被动攻击：攻击者并不直接攻击服务器，而是针对网站的用户设下陷阱，利用掉入陷阱的用户来攻击应用程序。 单纯的被动攻击——将用户诱导至设有圈套的网站，利用浏览器、Adobe Reader、Adobe Flash Player 阅读全文

摘要：1、Content-Type 发送值得MIME类型，可通过HTML的form元素设置。默认为application/x-www-form-urlencoded。格式为“名称=值”的组合通过&相连，名称和值都经过百分号编码。 2、百分号编码 中文和特殊符号等不能直接用于URL，需要经过百分号编码才能用 阅读全文