Web系统安全初识

Web系统的构建有很多语言,不过对Web系统安全做检测大概也差不多,以前没有接触过这方面的知识,所以呢,也就不能说太深

我们主要是做了两个事,一个是SQL注入,一个是XSS漏洞检测,网上资料很多,都对他们的原理做了一个很详细的说明,如果你搜XSS漏洞语句大全,你还是会很震惊的。。。不过,说到代码部分,我只想说,好少,倒是软件多一点,如果想了解,可以去开源中国和github上下很多软件的源码,基本都是python。。。然后是一堆版本的问题。。。 不过基本整个软件的编写都是这么个流程:

(本图截取自 电子科技大学 陶亚萍同学的学位论文《Web应用安全漏洞扫描工具的设计与实现》)

基本上来讲,就是先爬后改最后发——先用爬虫得到网站其他链接和表单信息,然后修改表单值,最后重新构造包模拟浏览器发包,最终分析返回数据判断是不是有漏洞。

或者可以看这个:(截取自西安电子科技大学 沈寿忠 硕士学位论文 《基于网络爬虫的SQL注入与XSS漏洞挖掘》)

两篇论文可以在百度文库get,介绍的很详细

关于代码:

代码确实不好找,可以开源找到sqlmap 和xsser的,不过使用上,额,还是要琢磨一下的,可能版本问题吧。。。python以前没用过,一上手还是有点茫然。。

这里有一篇100行XSS漏洞扫描的,满满的正则,内心已然崩溃,不过条理挺清晰的:

https://github.com/stamparm/DSXS

正则:

https://msdn.microsoft.com/zh-cn/library/az24scfc.aspx#atomic_zerowidth_assertions

正则表达式分析器(这个大神):http://regexper.com/

关于爬虫,我没用过,不过还挺好的样纸:

http://www.oschina.net/code/snippet_1044667_46011

就这么多吧,说多了也是废话,有机会深入再加

时间: 2024-10-11 14:09:40

Web系统安全初识的相关文章

在英文Win7操作系统上部署C#开发的Web系统出现乱码的解决方法

今天,迁移机器,把一个使用C#开发的Web系统部署到一台英文版Win7操作系统上,部署好以后,系统可以登录,只是网页上出现汉字乱码. 在这台电脑上,打开Word等文本编辑器,是可以正常输入.显示中文的. 解决方法如下: 1.打开"控制面板"----->选择"Region and Language" 2.Formats 页里Format为"English(United States),Location页选择的是United States,这个是没有影响

适应多场景应用的web系统架构探讨

背景: 虽然身处互联网时代,但还有很多信息系统仍运行在内部网络中,例如,企事业内部的OA系统,医院的HIS系统,银行的管理系统等.软件公司会针对系统应用环境,对信息系统进行逻辑业务上的修改.因此,本文主要介绍一种适应于多场景应用的web系统架构,供相关人员讨论研究. 1 系统框架图 2 分层的优势 (1)解耦:降低代码耦合度,允许前后端的分离,显示与业务的分离,前端开发与后台开发的分离. (2)复用:面向接口编程,面向接口实现,面向接口形成文档,提高接口函数的复用. (3)固化通用业务逻辑. (

Web系统大规模并发——电商秒杀与抢购

电商的秒杀和抢购,对我们来说,都不是一个陌生的东西.然而,从技术的角度来说,这对于Web系统是一个巨大的考验.当一个Web系统,在一秒钟内收到数以万计甚至更多请求时,系统的优化和稳定至关重要.这次我们会关注秒杀和抢购的技术实现和优化,同时,从技术层面揭开,为什么我们总是不容易抢到火车票的原因? 一.大规模并发带来的挑战 在过去的工作中,我曾经面对过5w每秒的高并发秒杀功能,在这个过程中,整个Web系统遇到了很多的问题和挑战.如果Web系统不做针对性的优化,会轻而易举地陷入到异常状态.我们现在一起

徐汉彬:Web系统大规模并发——电商秒杀与抢购(转)

[导读]徐汉彬曾在阿里巴巴和腾讯从事4年多的技术研发工作,负责过日请求量过亿的Web系统升级与重构,目前在小满科技创业,从事SaaS服务技术建设. 电商的秒杀和抢购,对我们来说,都不是一个陌生的东西.然而,从技术的角度来说,这对于Web系统是一个巨大的考验.当一个Web系统,在一秒钟内收到数以万计甚至更多请求时,系统的优化和稳定至关重要.这次我们会关注秒杀和抢购的技术实现和优化,同时,从技术层面揭开,为什么我们总是不容易抢到火车票的原因? 一.大规模并发带来的挑战 在过去的工作中,我曾经面对过5

亿级Web系统搭建——单机到分布式集群

原文转自:http://kb.cnblogs.com/page/509402/ 当一个Web系统从日访问量10万逐步增长到1000万,甚至超过1亿的过程中,Web系统承受的压力会越来越大,在这个过程中,我们会遇到很多的问题.为了解决这些性能压力带来问题,我们需要在Web系统架构层面搭建多个层次的缓存机制.在不同的压力阶段,我们会遇到不同的问题,通过搭建不同的服务和架构来解决. Web负载均衡 Web负载均衡(Load Balancing),简单地说就是给我们的服务器集群分配“工作任务”,而采用恰

从电商秒杀与抢购谈Web系统大规模并发

从电商秒杀与抢购谈Web系统大规模并发 http://www.iamlintao.com/4242.html 一.大规模并发带来的挑战 在过去的工作中,我曾经面对过5w每秒的高并发秒杀功能,在这个过程中,整个Web系统遇到了很多的问题和挑战.如果Web系统不做针对性的优化,会轻而易举地陷入到异常状态.我们现在一起来讨论下,优化的思路和方法哈. 1. 请求接口的合理设计 一个秒杀或者抢购页面,通常分为2个部分,一个是静态的HTML等内容,另一个就是参与秒杀的Web后台请求接口. 通常静态HTML等

【问底】徐汉彬:Web系统大规模并发——电商秒杀与抢购

摘要:电商的秒杀和抢购,从技术的角度来说,会对Web系统产生巨大的考验.本期<问底>,徐汉彬将带大家关注秒杀和抢购的技术实现和优化,同时,从技术层面揭开,为什么我们总是不容易抢到火车票的原因. [导读]徐汉彬曾在阿里巴巴和腾讯从事4年多的技术研发工作,负责过日请求量过亿的Web系统升级与重构,目前在小满科技创业,从事SaaS服务技术建设. 电商的秒杀和抢购,对我们来说,都不是一个陌生的东西.然而,从技术的角度来说,这对于Web系统是一个巨大的考验.当一个Web系统,在一秒钟内收到数以万计甚至更

开源TMS团队协作web系统

TMS(Teamwork Management System) TMS 是一款开源的团队协作(沟通.博文.国际化翻译)Web 系统(响应式界面设计.移动端适配). oschina推荐上榜的国产软件: https://www.oschina.net/p/tmsgitosc repo: https://git.oschina.net/xiweicheng/tmsgithub repo: https://github.com/xiweicheng/tms 试玩: http://tms000.sh1.n

值得我们深入研究和学习:从零开始一步一步搭建坚不可摧的Web系统主流架构

本文标签: Web系统主流架构 搭建Web系统架构 缓存服务器 数据库架构   技术型初创公司  互联网杂谈 主题简介: 1.网站系统架构当前现状 2.Web系统主流架构解析 3.互联网技术团队初期组建经验分享 本文主要结合我之前在海尔电商平台和现在公司的一些实际架构经验,综合实际情况和个人的理解,跟大家分享一下搭建Web系统的一些常用的技术架构和应用技巧. 首先要跟大家探讨一个问题,就是当前传统IT企业或是传统企业的IT系统目前的系统架构是怎样的呢? 就我所经历的NEC软件.海尔集团.青岛航空