AI 助理
文档备案控制台
文章 2023-06-12 来自:开发者社区

Web 安全之 CSRF 攻击

CSRF 攻击中文为跨站请求伪造,全拼为 Cross-site request forgery,也常被称为 XSRF 攻击。虽然 CSRF 攻击没有 XSS 攻击更常见,但其破坏性同样不容小觑。攻击原理CSRF 攻击是攻击者利用目标网站对用户浏览器的信任,对已登录用户执行非用户本意的操作。比如用户登录了 A 网站,记录用户登录的会话信息就会以 Cookie 的形式保存在浏览器中,此时用户访问攻击....

Web 安全之 CSRF 攻击
文章 2023-06-12 来自:开发者社区

Web 安全之 XSS 攻击

XSS 攻击中文为跨站脚本攻击,全拼为 Cross-Site Scripting,其缩写本应为 CSS,但这个名称已经被作为 Cascading Style Sheets(层叠样式表) 的缩写,为了避免冲突,就将 Cross(交叉) 缩写成了看起来像一个交叉形状的字母 X。攻击原理XSS 攻击是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页....

Web 安全之 XSS 攻击
文章 2023-06-12 来自:开发者社区

Web 安全之 SQL 注入攻击

SQL 注入攻击是一种非常普遍的攻击方式,也是最危险的 Web 程序安全风险之一。所以学习并防范 SQL 注入攻击是非常必要的。攻击原理在编写 Web 程序时,如果后端代码不对前端用户输入数据做安全性检查,直接将数据当作参数拼接到 SQL 语句中,然后执行 SQL 语句,恶意用户就可以通过传入包含 SQL 关键字的参数来做一些相当危险的操作,如获取敏感数据、删除数据等,以此来达到攻击目的。攻击示....

Web 安全之 SQL 注入攻击
文章 2023-06-06 来自:开发者社区

【WEB安全】SMTP注入

漏洞介绍 SMTP是用于发送和传递电子邮件的协议,定义了邮件的传输方式和交流规则。 SMTP注入是指可通过添加/控制邮件头的方式,篡改邮件的发送者、抄送、密送等字段,从而达到欺骗、窃取邮件信息或劫持邮件传递的目的。 既然归属到注入类,说明也是对用户输入未严格过滤,从而达到非预期的结果。 邮件头介绍 常见邮件头代表的含义如下: 邮件头字段 含义 ...

【WEB安全】SMTP注入
文章 2023-05-30 来自:开发者社区

【WEB安全】详解信息泄漏漏洞

1.1. 漏洞介绍 由于网站管理员运维不当,可能会将备份文件、数据库配置文件等敏感文件存放在WEB目录下公开访问,攻击者可以轻松地访问这些敏感文件,从而了解系统的配置细节、密码信息、数据库凭据等重要数据,扩大的攻击面。 这种泄漏敏感信息的情况就属于信息泄漏漏洞。 1.2. 漏洞发现 主要以目录扫描为主,可参考目录扫描,其次以观察或者正则表达式辅助为主。 1.3. 漏洞分类 1.3.1...

【WEB安全】详解信息泄漏漏洞
文章 2023-05-24 来自:开发者社区

【WEB安全】任意URL跳转

1.1. 漏洞介绍 URL跳转漏洞(URL Redirection Vulnerability)又叫开放重定向漏洞(Open Redirect Vulnerability),是一种常见的网络安全漏洞,它存在于许多网站和应用程序中。该漏洞的根本原因是没有对用户提供的URL进行充分的验证和过滤,导致攻击者可以通过构造恶意URL,将用户重定向到任意的网站或应用程序中。 1.2. 漏洞危害 ...

【WEB安全】任意URL跳转
文章 2023-05-23 来自:开发者社区

新增 | web安全文章总结专栏

之前的渗透专栏已经删除掉了,里面原因有很多吧!自己刚写渗透专栏的方向没有把握好,导致想要完成之前的专栏需要耗费大量的时间。中间自己也有些变故,导致没有太多时间去写一些文章。最重要的可能给师傅们的帮助也没有想象中的那么大,所以最终还是把渗透专栏给删除了。现在新增加了一个专栏《web安全文章总结》干货 | 命令执行(RCE)面对各种过滤,骚姿势绕过总结干货 | 总结各种骚姿势绕过文件上传干货 | s....

新增 | web安全文章总结专栏
文章 2023-05-23 来自:开发者社区

【WEB安全】不安全的反序列化

1.1. 什么是序列化和反序列化 序列化和反序列化是指用于将对象或数据结构转换为字节流的过程,以便在不同系统之间进行传输或存储,并在需要时重新构造。 序列化是指将对象或数据结构转换为字节流的过程。在序列化过程中,对象的状态和数据被转换为一系列字节,这些字节可以按照一定的协议进行传输或存储。序列化通常用于将对象存储到磁盘或通过网络发送到其他系统。序列化后的字节流可以被保存下来,以后可以通过反序...

【WEB安全】不安全的反序列化
文章 2023-05-20 来自:开发者社区

WEB安全之常见漏洞篇之SQL注入(基础 原理篇)

0x01 漏洞原理SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。0x02 漏洞危害Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。这种网....

文章 2023-04-27 来自:开发者社区

Django:用于轻松安全 Web 开发的高级 Python Web 框架

Django是一种高级 Python Web 框架,近年来在开发人员中广受欢迎。Django 专注于简单性、安全性和可扩展性,使开发人员可以轻松构建和部署强大的 Web 应用程序。在这份综合指南中,我们将仔细研究是什么让 Django 成为 Web 开发的绝佳选择,并详细探讨其主要特性和功能。1.安全第一方法: Django 的主要优势之一是它对安全性的高度关注。它包括针对常见安全威胁的内置保护....

本页面内关键词为智能算法引擎基于机器学习所生成,如有任何问题,可在页面下方点击"联系我们"与我们沟通。

web更多安全相关

web您可能感兴趣

阿里UC研发效能

分享研发效能领域相关优秀实践,技术分享,产品信息

+关注