Web安全相关资料

Web安全相关资料的相关文章

ASP.NET WEB API 资料

1.MVC5 - ASP.NET Identity登录原理 - Claims-based认证和OWIN http://www.cnblogs.com/jesse2013/archive/2014/04/01/aspnet-identity-claims-based-authentication-and-owin.html 2. ASP.NET WEB API 资料

Web安全相关(五):SQL注入(SQL Injection)

简介 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统. 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入.前者由不安全的数据库配置或数据库平台的漏洞所致:后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询.基于此,SQL注入的产生原因通常表现在以下几方面: 1. 不当的类型处理: 2. 不安全的数据库

Web安全相关(三):开放重定向(Open Redirection)

简介 那些通过请求(如查询字符串和表单数据)指定重定向URL的Web程序可能会被篡改,而把用户重定向到外部的恶意URL.这种篡改就被称为开发重定向攻击. 场景分析 假设有一个正规网站http://nerddinner.com/,还有一个恶意网站或钓鱼网站http://nerddiner.com/(注意:这里少了个n). 一天,小白收到了别人发的链接:http://nerddinner.com/Account/LogOn?returnUrl=http://nerddiner.com. 1. 打开链

Web安全相关(一):跨站脚本攻击(XSS)

简介 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的Cookie,导航到恶意网站,携带木马等. 一些场景 1. 恶意攻击者可以在个人介绍里面插入恶意代码,那么其他用户访问他的个人信息时,就会执行恶意代码. 2.

web安全相关知识

xss攻击入门 XSS攻击及防御 XSS的原理分析与解剖 浅谈CSRF攻击方式 利用HTTP-only Cookie缓解XSS之痛 SERVLET 2.5为COOKIE配置HTTPONLY属性 cookie工具类,解决servlet3.0以前不能添加httpOnly属性的问题 web安全实战系列文章

移动互联网安全相关资料

我的一些个人总结 1.web 攻击     最主要的攻击方式,另起一文详细说明: 其实攻击针对的主要还是服务端,毕竟拿到客户端再多的数据用户也不大: 2.使用不安全的接口 很多接口对外开放权限-导致不需要校验既可以进行查询(爬虫抓数据),甚至是update.delete操作: 对来访的IP做校验,加ip/域名黑白名单.对外部环境设置ip黑名单,对内部环境设置ip/域名白名单: 使用上层服务检测来访请求中的参数信息:B参数.C参数.登录信息.token: 使用不加密的请求参数: 使用https的方

Web安全相关(四):过多发布(Over Posting)

简介 过多发布的内容相对比较简单,因此,我只打算把原文中的一些关键信息翻译一下.原文链接如下: http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-crud-functionality-with-the-entity-framework-in-asp-net-mvc-application#overpost 示例代码下载: https://code

Web安全相关(二):跨站请求伪造(CSRF/XSRF)

简介 CSRF(Cross-site request forgery跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用.尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左.XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站.与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更

Web测试到底是在测什么(资料合集)

http://www.cnblogs.com/idotest/p/6838583.html 图片略模糊 看得清就好 Web测试, 进行抽离拆分,基本上就如上一些内容. 不管是测什么系统,什么功能,基本都差不多. 唯一区别是,一些特性 & 细节 . 今天, 老徐摘录了一些通用的测试点,根据你的实际情况,删减,即可. 正式开始之前, 说下为什么要整理这个主题. 其实,很不想整理的. 1. 没价值,网上太多,一搜大把. 2. 资料会给大家一些思维定式,有了这份大纲后,很多人会不思进取,以为已经掌握了W