2014第2周三Web安全学习
2014-01-08 20:49
295 查看
2014第2周三Web安全学习先记录下自己关于json和xml作为数据传递媒介的差异:在写一个java方法时我将正确结果返回的对象转成json返回,将错误结果根据不同原因以xml形式返回,同事看后有不少意见,想象也是xml作为接口间数据传递媒介时对这种情况比较容易处理,如果是json也可以为不同类型结果来做,调用接口时先判断结果类型无意外时再做json2object操作。各种Web应用安全漏洞,诸如:XSS,SQL注入,其实所蕴含安全问题本质往往只有几个。 我个人把Web应用程序安全性本质问题归结以下三个部分: 1、输入/输出验证(Input/output validation) 2、角色验证或认证(Role authentication ) 3、所有权验证(Ownership authentication) 一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次: 1、网络安全。如防火墙、路由器、网络结构等相关的安全问题
2、系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全,象Apache/OpenSSL/Weblogic等本身的安全性漏洞
3、Web应用程序安全。具体应用程序的安全性漏洞,比如:某网站邮件系统因为存在脚本安全性问题,导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的,其密码与帐号信息被人窃取。
以下是这些安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)
2、SQL注入攻击(SQL injection)
3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
4、目录遍历(Directory traversal)
5、文件包含(File inclusion)
6、脚本代码暴露(Script source code disclosure)
7、Http请求头的额外的回车换行符注入(CRLF injection/HTTP response splitting)
8、跨帧脚本攻击(Cross Frame Scripting)
9、PHP代码注入(PHP code injection)
10、XPath injection
11、Cookie篡改(Cookie manipulation)
12、URL重定向(URL redirection)
13、Blind SQL/XPath injection for numeric/String inputs
14、Google Hacking
来源: <常见Web应用安全问题(1 - 4)(一) - iwebsecurity(Web安全性)的专栏 - 博客频道 - CSDN.NET>
来自为知笔记(Wiz)
2、系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全,象Apache/OpenSSL/Weblogic等本身的安全性漏洞
3、Web应用程序安全。具体应用程序的安全性漏洞,比如:某网站邮件系统因为存在脚本安全性问题,导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的,其密码与帐号信息被人窃取。
以下是这些安全性问题的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)
2、SQL注入攻击(SQL injection)
3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
4、目录遍历(Directory traversal)
5、文件包含(File inclusion)
6、脚本代码暴露(Script source code disclosure)
7、Http请求头的额外的回车换行符注入(CRLF injection/HTTP response splitting)
8、跨帧脚本攻击(Cross Frame Scripting)
9、PHP代码注入(PHP code injection)
10、XPath injection
11、Cookie篡改(Cookie manipulation)
12、URL重定向(URL redirection)
13、Blind SQL/XPath injection for numeric/String inputs
14、Google Hacking
来源: <常见Web应用安全问题(1 - 4)(一) - iwebsecurity(Web安全性)的专栏 - 博客频道 - CSDN.NET>
来自为知笔记(Wiz)
相关文章推荐
- 2014第8周三杂记及web标准学习
- 2014第16周三CSS布局再学习摘录
- 编译原理学习笔记11——(三个臭皮匠顶上—— 构造预测分析表)——2014_1_27
- iOS学习笔记11-iOS应用国际化教程(2014版)
- BZOJ 3555: [Ctsc2014]企鹅QQ [字符串哈希]【学习笔记】
- 开源编译器学习笔记06(VC6 语法分析器——见面语法树状态机之start)——2014_2_2
- 2014专业知识学习---be strong
- 2014年新增Puppet微信公众号(puppet2014),欢迎大家加入进行交流学习
- 【NOIP2014八校联考第2场第2试】帮助Bsny
- 2015第9周三html5学习0
- 2014-02学习笔记
- 深度学习(二十六)Network In Network学习笔记-ICLR 2014
- 2014 30 天学习 30 种新技术系列
- 白帽子讲Web安全学习笔记
- 2014学习计划上
- iOS: 学习笔记, 透过Boolean看Swift(译自: https://developer.apple.com/swift/blog/ Aug 5, 2014 Boolean)
- 国家自然科学基金2014【深度学习】
- 【2014】要做题,还要学会思考总结 学习经验
- Web安全学习记录-HTML
- MFC学习-第2,3课 MFC框架的运行机制