web安全

0x01 代码执行 1.1 概念 远程代码执行实际上是调用服务器网站代码进行执行。 1.2 常见执行方法 eval eval():将字符串当做函数进行执行（需要传入一个完整的语句） demo： <?php eval('echo "hello";'); ?> assert assert（）：判断是否为字符串，是则当成代码执行 demo： 低版本： <?php assert($_POST['a']);?> php官方在php7中更改了assert函数。在php7.0.29之后的版本不支持动态调用。 7.0之后的demo： <?php $a = 'assert'; $a(phpinfo()); ?> call_user_func call_user_func（）：回调函数，可以使用is_callable查看是否可以进行调用 demo: <?php highlight_file(__FILE__); $a = 'system'; $b = 'pwd'; call_user_func($a,$b); call_user_func('eval','phpinfo()'); ?> 其中基本可以传递任何内置的和用户自定义的函数， 除了语言结构：array、echo、empty、eval... call_user_fuc_array call_user_fuc_array（）：回调函数，参数为数组

https://www.cnblogs.com/ios9/p/7692373.html 十大web安全扫描工具 扫描程序可以在帮助造我们造就安全的Web 站点上助一臂之力，也就是说在黑客“黑”你之前， 先测试一下自己系统中的漏洞。我们在此推荐10大Web 漏洞扫描程序，供您参考。 1. Nikto http://www.xdowns.com/soft/184/Linux/2012/Soft_99498.html 1 以下是引用片段： 2 这是一个开源的Web 服务器扫描程序，它可以对Web 服务器的多种项目(包括3500个潜在的危险 文件/CGI，以及超过900 个服务器版本，还有250 多个服务器上的版本特定问题)进行全面的测 试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。Nikto 可以在尽可能短的周期内测试你的Web 服务器，这在其日志文件中相当明显。不过，如果 你想试验一下(或者测试你的IDS系统)，它也可以支持LibWhisker 的反IDS方法。 不过，并非每一次检查都可以找出一个安全问题，虽然多数情况下是这样的。有一些项目是仅提 供信息(“info only” )类型的检查，这种检查可以查找一些并不存在安全漏洞的项目，不过 Web 管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻 烦。 这是一个开源的Web

Web应用安全依然是互联网安全的最大威胁来源之一，除了传统的网页和APP，API和各种小程序也 作为新的流量入口快速崛起，更多的流量入口和更易用的调用方式在提高web应用开发效率的同时也带 来了更多和更复杂的安全问题。 在站点行业分布角度来看，备受攻击者青睐的网站多是互联网、电商、媒体和政府类站点。 从2019年上半年的CC攻击情况看，在攻击事件数量上基本与去年保持持平，虽然最大的CC攻击事件攻击 峰值超过了200万QPS（每秒请求数），但我们看到大流量暴力型的CC攻击在减少，并且攻击变得更加灵活和智能，在一些高级攻击中往往伴随有较为完善的监控体系，在被拦截后能够做一定程度的攻击，手法变换以达到动态对抗、绕过防护策略的目的。而相应的，企业也应该在CC防护上具备自动对抗的能力。 攻击者正在向更精细化的方向演化，更多类似CC攻击的行为出现在一些业务属性明显的接口上，如登录接口、短信验证码接口、查票接口、专利查询接口等。即越来越多的CC攻击是由于爬虫爬取量过大 带来的“附加伤害”所引起的拒绝服务效果。 TTCDN可以做到智能防护，隐藏源站IP，防止黑客获取源站真实IP，保护网站远离DDOS和CC攻击，确保加速性能的前提下全面提升网站安全性。TTCDN防护网站的同时，网站本身要做好网站程序和服务器自身维护，做好服务器漏洞防御，设置好访问权限，也可有效防御DDoS和CC攻击。 来源：

一、Robot 访问URL，可以看到一张骚气十足的图片，然后就什么都没了。。。没了。。。 不可能啊，一张骚图片就想欺骗小编，想的太美（长得丑了） 题目说明写的是robot，想想多半是有猫腻，想来也就是关于”robots.txt”了，上百度百科。 好的，直接在URL后面加上robots.txt访问，哟呵，果然是成功了，佩服小编的聪明才智了。 访问查看到的目录，很容易就发现“admin/3hell.php/”存在问题，右键查看源码，flag信息立马出现。 二、seelog 这次的题目是seelog，很明显呢，查看日志，访问URL（一样一样滴） 呃呃呃，居然告知我是“内部网站，非请勿入”，着实伤了一把小编的玻璃心，不过越是这样小编就越要去看一看了。 题目说明给的是“seelog”，这让刚做完了“robot”的小编延续了优良的传统，直接网址后面加一个“log”访问，不出意外成功了（小编的运气应该还算不错），马上就可以看到两个日志文件，ok，直接访问“access.log”文件。 一大堆的日志，审计起来多半得丢了半条命，那么如何关键快速的照到我们想要的结果呢？（答案：挨着找） 我们可以“Ctrl+f”快速查找关于200的状态代码（ 200-确定。客户端请求已成功。），找到我们想要利用的信息 分析找到的信息，可以看到是“GET”请求方式 OK，把找到的信息添加到URL后进行访问

数据与指令 l 数据 i. 浏览器打开一个网站，呈现在我们面前的都是数据。 服务端存储的：数据库、内存、文件系统等 客户端存储的：本地cookies、flash cookies等 传输中的：JSON数据、XML数据等 文本数据：HTML、JavaScript、CSS等 多媒体数据：flash、mp3等 图片数据等 l 指令 i. 如何存储、传输并呈现这些数据，需要执行指令。 ii. 指令就是要执行的命令，因为指令被解释执行，产生对应的数据内容。 iii. 不同指令的解释执行，由不同的环境完成。 iv. 如：sql查询指令的解释环境为数据库引擎。 v. 如：<script>标签内的是一句JavaScript指令，由浏览器JS引擎来解释执行，解释结果就是数据。而<script>本身却是HTML指令（促成HTML标签），由浏览器DOM引擎进行渲染执行。 浏览器的同源策略 l 同源： i. 同协议 ii. 同域名 iii. 同端口 iv. https://www.cnblogs.com/dsky/archive/2012/04/06/2434010.html v. https://www.cnblogs.com/chaoyuehedy/p/5556557.html l 客户端脚本： i. JavaScript：各个浏览器原生支持的脚本语言 ii. Actionscropt

Netsparker是一款综合型的web应用安全漏洞扫描工具，它分为专业版和免费版，免费版的功能也比较强大。Netsparker与其他综合性的web应用安全扫描工具相比的一个特点是它能够更好的检测SQL Injection和 Cross-site Scripting类型的安全漏洞。‍‍ 来源： https://www.cnblogs.com/hackhyl/p/11365665.html

我们最常见的Web安全攻击有以下几种 1.XSS 跨站脚本攻击 2.CSRF 跨站请求伪造 3.clickjacking 点击劫持/UI-覆盖攻击 XSS跨站脚本攻击（Cross Site Scripting） 恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。 分类 1.Reflected XSS（基于反射的XSS攻击） 2.Stored XSS（基于存储的XSS攻击） 3.DOM-based or local XSS（基于DOM或本地的XSS攻击） Reflected XSS（基于反射的XSS攻击） 主要通过利用系统反馈行为漏洞，并欺骗用户主动触发，从而发起Web攻击。 来源： https://www.cnblogs.com/sunidol/p/11361714.html

Cookie＆Session 背景 ：Cookie和Session的原理、作用及如何设置和相关面试。 一、诞生背景 HTTP是无状态的，即服务器无法知道两个请求是否来自同一个浏览器，也就是服务器不知道用户上一次做了什么，每次请求都是完全独立的。 早期互联网只是用于简单的浏览文档信息、查看黄页和门户网站等，并没有交互这个概念。但是随着互联网慢慢发展，宽带、服务器等硬件设施得到了很多的提升，互联网允许人们做更多的事情，所以交互式Web(交互式Web即客户端与服务器可以互动，如用户登录、商品购买和论坛等)慢慢就兴起了，而HTTP无状态的特点对此造成了严重阻碍。 由于不能记录用户上次的操作，伟大的程序员发明了隐藏域用于记录用户上一次的操作信息；通过隐藏域把用户上次操作记录放在form表单的input中，这样请求时将表单提交就可以知道上一次用户的操作了，但是这样每次都得常见隐藏域而且需要赋值，既麻烦又容易出错；但是隐藏域作用强大，时至今日都有很多人在用它解决各种问题。隐藏域的写法如下： <input type="hidden" name="field＿name" value="value"> 网景公司的卢-蒙特利Lou Montulli，在1994年将Cookies的概念应用于网络通信，用于解决用户网上购物的购物车历史记录，而当时最强大的浏览器也是网景浏览器

<!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd" > <web-app> <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:spring-security.xml</param-value> </context-param> <listener> <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> </listener> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter

一：Gryffin 雅虎发布开源Web应用安全扫描器Gryffin http://www.freebuf.com/news/79982.html https://github.com/yahoo/gryffin 二：Firing Range Firing Range 是一个 Web 应用安全扫描器，提供语义、各种安全漏洞的扫描支持。 http://www.oschina.net/p/firing-range 三：google scanner http://thehackernews.com/2015/02/google-cloud-security-scanner.html 四： Damn Web Scanner https://github.com/swisskyrepo/DamnWebScanner end：其他不错的资源 http://www.jianshu.com/p/0e4c688d93ab http://www.legendsec.org/1736.html https://freewechat.com/a/MzIxMzQ3MzkwMQ==/2247487173/1 来源： http://www.cnblogs.com/spacepirate/p/6698128.html