zoukankan      html  css  js  c++  java
  • web应用安全权威指南(文摘)

    第1章 什么是web应用的安全隐患

    第3章 Web安全基础,HTTP,会话管理,同源策略

    content_length 字节数

    content_type mime类型

    百分号编码

    referer :请求的链接

    要点:URL中包含重要信息时,就有Referer头信息泄漏的风险

    get和post的区别:get方法仅用于查阅,Get方法被认为没有副作用,发送敏感数据时应使用post方法

    hidden 参数能够被更改,原则上要避免使用使用会话变量,要使用hidden参数

    无状态的HTTP认证

    要点:浏览器发送的值都能够被变更

    cookie 与会话管理

    要点:使用开发工具提供的会话管理机制

    要点:认证后改变会话ID

    要点:原则上不设置cookie的domain属性

    被动攻击与同源策略

    主动攻击:

    被动攻击:单纯的被动攻击;恶意利用正规网站进行的被动攻击;跨站被动攻击;

    沙盒:禁止访问本地文件,禁止使用打印机等资源,限制网络访问(同源策略)

    同源策略:禁止JS进行跨站访问

    1.URL的主机一致 2协议一致 3端口号一致

    同源策略保护不仅仅是iframe内的文档,ajax也受到了限制。

    跨站脚本攻击

    jsonp是不能用于传送隐私信息的

    第4章 web应用的各种安全隐患

    输入处理与安全性

    跨站脚本:

    生成URL时的对策:

    javascript字符串字面量动态生成的对策:

    允许HTML标签或CSS时的对策:

    sql注入:

    跨站请求伪造:(CSRF) 原因及对策

    不完善的会话管理:原因及对策

    重定向相关的安全隐患:原因及对策

    cookie输出相关的安全隐患:原因及对策

    发送邮件的问题:原因及对策

    文件处理相关的问题:原因及对策

    文件上传相关的问题:原因及对策 检验扩展名是否在允许范围内;图像文件的情况下确认其文件头

    include相关的问题:

    eval相关的问题:

    共享资源相关的问题:

    第5章 典型安全功能

    认证,帐号管理 授权 日志管理

    第6章 字符编码和安全

    第7章 如何提高web网站的安全性

    第8章 开发安全web应用所需要的管理

  • 相关阅读:
    JavascriptCore中扩展自定义函数
    Qt for Symbian应用的开发转载
    Qt Symbian 开发环境安装转载
    qt屏幕抓图
    为JavascriptCore添加自定义对象
    Tesseract OCR开源项目转载
    Joomla, Wordpress, Drupal 全面详细Pk比较转载
    Drupal,Joomla,Wordpress在内置应用功能方面的区别和比较转载
    Docker:第五章:基于centos7的docker安装配置部署教程以及基于docker Tomcat镜像使用的项目部署教程
    【JavaP6大纲】Redis篇:redis集群工作原理,协议,分布式寻址算法
  • 原文地址:https://www.cnblogs.com/smileberry/p/7121458.html
Copyright © 2011-2022 走看看