原创 《白帽子講Web安全》8-文件上傳漏洞
第8章 文件上傳漏洞 8.1 文件上傳漏洞概述 文件上傳漏洞是指用戶上傳了一個可執行的腳本文件,並通過此腳本文件獲得了執行服務器端命令的能力。 這種攻擊方式是最爲直接和有效的,有時候幾乎沒有什麼技術門檻。 “文件上傳”本身是一個正常業務
2018-08-29 16:38:55
2
原创 《白帽子講Web安全》6-HTML5安全
第6章 HTML5安全 6.1 HTML5新標籤 6.1.1 新標籤的XSS 如<video>和<audio>標籤。 6.1.2 iframe的sandbox 使用sandbox這一屬性後,<iframe>標籤加載的內容將被視爲一個獨立的
2018-08-29 16:38:54
原创 《白帽子講Web安全》10-訪問控制
第10章 訪問控制 對於權限的合理分配,一直時安全設計中的核心問題。 10.1 What Can I Do? 認證解決了“Who am I?”的問題,而授權解決了“What Can I Do?”的問題。 某個主體(subject)對某個
2018-08-29 16:38:54
1
原创 《白帽子講Web安全》11-加密算法與隨機數
第11章 加密算法與隨機數 11.1 概述 常見的加密算法 分組加密算法 流密碼加密算法 對比 分組加密算法 流密碼加密算法 基於“分組”(block)進行操作 每次只處理一個字節 根據算法的不同,每個分組的長度可能
2018-08-29 16:38:54
7
原创 《白帽子講Web安全》3-跨站腳本攻擊(XSS)
第3章 跨站腳本攻擊(XSS) 3.1 XSS簡介 Cross Site Script,跨站腳本攻擊,簡稱XSS。 XSS攻擊,通常是指黑客通過“HTML注入”篡改了網頁,插入了惡意的腳本,從而在客用戶瀏覽網頁時,控制用戶瀏覽器的一種攻
2018-08-29 16:38:52
3
原创 《白帽子講Web安全》5-點擊劫持(ClickJacking)
第5章 點擊劫持(ClickJacking) 5.1 什麼是點擊劫持 點擊劫持是一種視覺上的欺騙。攻擊者使用一個透明的、不可見的iframe,覆蓋在一個網頁上,通過調整iframe的位置,誘使用戶恰好點擊在iframe頁面的一些功能性按鈕
2018-08-29 16:38:51
3
原创 《白帽子講Web安全》7-注入攻擊
第7章 注入攻擊 注入攻擊是Web安全領域中一種最爲常見的攻擊方式。 注入攻擊的本質,是把用戶輸入的數據當做代碼執行。 有兩個關鍵條件: 用戶能夠控制輸入 原本程序要執行的代碼,拼接了用戶的數據 7.1 SQL注入 SQL注入的典
2018-08-29 16:38:51
原创 《白帽子講Web安全》4-跨站點請求僞造(CSRF)
第4章 跨站點請求僞造(CSRF) Cross Site Request Forgery 4.1 CSRF簡介 舉例,攻擊者僅僅誘使用戶訪問了一個頁面,就以該用戶的身份在第三方站點裏執行了一次操作(刪除了搜狐博客上的一篇文章)。 4.2
2018-08-29 16:38:51
1