web安全_web安全csdn-程序员宅基地

技术标签: web安全  安全  项目实战  

web应用

认证:验证用户是否合法, 比如登录密码认证,人脸认证,短信验证,指纹;

鉴权:验证用户的操作权限,对应角色,不同的角色拥有不同的权限;

审计:后台服务会记录用户的操作,方便日后追踪定责;比如对网站的恶意攻击者发起法律维权;

XSS

跨站脚本攻击;

利用浏览器漏洞,通过执行黑客编写的js脚本来。可以窃取用户的cookie 密码 按键轨迹;

防护:用户的一切输入皆不可信。验证用户的输入,黑名单,白名单。特别的如果通过过滤用户输入,比如过滤一切<javasrcipt>和</javasrcipt>标签,如果黑客输入<java<javasrcipt></javasrcipt>srcipt>,过滤后仍然存在字符串<javascript>。建议使用白名单或者输出时过滤;

CSRF

跨站伪造请求;

黑客通过诱导用户访问某个网站,让用户浏览器发起一个伪造请求,执行黑客定义的操作;

SSRF

服务端伪造请求;

黑客输入内网url,服务端执行该请求,获取服务端内网信息;

同源策略

OP,基于同一源下的请求只能访问当前源下的资源,比如ajax的请求如果请求其他源的资源,则会提示跨域错误。同源要素:协议+域名+端口,比如http+www.baidu.com+80;同一ip有多个域名,也会存在跨域;

SQL注入

通过拼接sql参数导致sql被恶意执行;

解决方案:java中通过PrepareStatement预解析后再执行;

序列化漏洞

在将字符串或者字节流转换成对象时,需要调用序列化组件的相关默认方法,黑客通过输入数据构造恶意方法,导致方法被调用,进而在服务端执行了恶意命令,拥有了服务端数据权限;

拥有了服务器的数据权限,即拥有了控制整个系统的权限!

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010355502/article/details/123447828

智能推荐

Linux Opencv 环境搭建_opencv换源阿里云-程序员宅基地

文章浏览阅读2.3k次。Linux Opencv 环境搭建1.换源:cd /etc/aptsudo gedit sources.list将里面内容替换为阿里云的源:deb http://mirrors.aliyun.com/ubuntu/ bionic main restricted universe multiversedeb http://mirrors.aliyun.com/ubuntu/ bionic-security main restricted universe multiversedeb http:_opencv换源阿里云

【CS231n】Softmax浅谈 + Softmax代码实现_#%% # evaluate on test set # evaluate the best sof-程序员宅基地

文章浏览阅读1.1k次。1. Softmax1.1 Softmax概要 Softmax分类器可以认为是在SVM分类器的基础上做了一些改进,SVM的输出为对于一张image在各个类别上面的评分,因为没有明确的参照,所以很难直接解释。而Softmax则不同,Softmax将对于一张image在各个类别上面的评分看作为归一化的对数概率,概率给了我们明确的参照,我们可以认为这张image应该认为是概率最高所..._#%% # evaluate on test set # evaluate the best softmax on test set y_test_pr

细说VLAN之untag和tag_vlan tag untag-程序员宅基地

文章浏览阅读1.9w次,点赞20次,收藏128次。一、拓扑图先给出上面拓扑图的结论,后面再详细讲解: 结论:只有PC1与PC4之间能相互通信,除此之外,所有PC之间均不能通信,比如PC1与PC3不能建立通信。针对Ping命令的一个知识:要想ping通某台主机,必须满足两个条件: 1,源主机的ICMP请求包必须能达到目的主机。 2,目的主机的ICMP应答包必须能回到源主机。二、理论基础端口的出..._vlan tag untag

编程实现:用scanf函数从键盘里输入10个学生的分数存放到一个一维数组中,并输出10个学生的平均分,最高分,最低分,不及格人数。_在main函数中使用scanf函数录入学生成绩,储存在一组数据中-程序员宅基地

文章浏览阅读2.8w次,点赞11次,收藏20次。编程实现:用scanf函数从键盘里输入10个学生的分数存放到一个一维数组中,并输出10个学生的平均分,最高分,最低分,不及格人数。#includeint main(){int a[10], max, min, n, ave;int i,s = 0;max = a[0];printf("请输入10个学生的分数:\n");for (i = 0,n=0; i &lt; 10; i++){scanf("%..._在main函数中使用scanf函数录入学生成绩,储存在一组数据中

Cesium Terrain Builder 非压缩瓦片_cesium-terrain-builder-程序员宅基地

文章浏览阅读2.5k次,点赞2次,收藏10次。Cesium Terrain Builder1、输出瓦片默认是zib压缩后的,在业务中如果传输不是问题,反而增加浏览器的解压处理,希望能支持输出非压缩瓦片。2、切片是整体DTM文件的完整切片,比较耗时。希望能够指定切片范围,增加切片效率。针对此需求,修改代码并重新编译。一、代码分析1、输出数据对象文件格式:主要为heightmap-1.0、quantized-mesh-1.0,其类图结构如下:MeshTile为quantized-mesh-1.0格式数据对象。TerrainTile为hei_cesium-terrain-builder

VS2019生成一个Mydll.DLL并用另一个mytest.exe调用(静态)。_vs2019生成dll-程序员宅基地

文章浏览阅读1k次。VS2019生成一个Mydll.DLL并用另一个mytest.exe调用(静态)。_vs2019生成dll

随便推点

cocos creator阻尼减速_cocos2d-x节点(CCPhysicsBody.h)API | 学步园-程序员宅基地

文章浏览阅读209次。cocos2d-x节点(CCPhysicsBody.h)API温馨提醒:为了大家能更好学习,强烈推荐大家看看本人的这篇博客Cocos2d-X权威指南笔记物体之间的作用力,把shape链接到body///cocos2d-x-3.0alpha0/cocos2dx/physics//物体之间的作用力,把 shape 链接到 body#include "CCPhysicsSetting.h"#ifdef ..._cocos 提前计算 applyimpulse

【vue 语音播报(文字转语音)】_tts-vue-程序员宅基地

文章浏览阅读5.4k次,点赞5次,收藏25次。【代码】【vue 语音播报(文字转语音)】_tts-vue

【Linux】安装 ftp 共享文件_liunx离线安装ftp共享文件夹-程序员宅基地

文章浏览阅读124次。CONTENT安装 ftp 服务编辑配置文件重新启动 ftp 服务WIN10 添加网络驱动器安装 ftp 服务sudo apt-get install vsftpd编辑配置文件sudo vi /etc/vsftpd.conf暂不改动重新启动 ftp 服务sudo service vsftpd restartWIN10 添加网络驱动器ftp://xx.xx.xx.xx..._liunx离线安装ftp共享文件夹

模型通道剪枝汇总(channel pruning)-程序员宅基地

文章浏览阅读3.6k次,点赞8次,收藏77次。目前所看到的通道剪枝的方法不是特别多,先总结一下现有的论文:https://openaccess.thecvf.com/content_iccv_2017/html/Liu_Learning_Efficient_Convolutional_ICCV_2017_paper.html解读:https://blog.csdn.net/h__ang/article/details/89376079关于这篇论文和相关的yolov3项目,我做了一个总结,传送门在这里,有完整代码,复现很方便:https://bl_channel pruning

MVC设计模式思想简述_mvc模式的核心设计模式-程序员宅基地

文章浏览阅读6k次,点赞2次,收藏14次。什么是设计模式设计模式是一套被反复使用、多人知晓的,并经过分类编目的代码设计经验的总结。设计模式不是一种方法或技术,而是一种思想。语言无关、平台无关。例如:孙子兵法,三十六计等。设计模式共23种,常用的4—6种工厂模式代理模式单例模式适配器模式MVC设计模式详见:https://blog.csdn.net/ljh0302/article/details/81562415..._mvc模式的核心设计模式

统计学方法&机器学习实战(四) 朴素贝叶斯算法_multinamialnb方法-程序员宅基地

文章浏览阅读1.1k次。理论难点:理论知识强烈推荐看Jack Cui 真是讲得非常好,理论也太通俗了。这部分实现难点:_multinamialnb方法

推荐文章

热门文章

相关标签