随着 Web 应用越来越广泛,Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对 Web 应用安全的关注度也逐渐升温。下面向大家推荐8款非常有...
2.1.1 HTTP 基础知识(Http Basics) .............................................9 HTTP 是如何工作的呢?所有的 HTTP 传输都要遵循同样的通用格式(需要使用 IEWatch 或 WebScarab 类插件协助进行学习)。每个客户端的请求和服务端的响应都有三个部分:请 求或响应行、一...
1:SQL 注入2:XSS3:CSRF4:文件上传1:SQL 注入引起原因:其实现在很多网站中都存在这种问题。就是程序中直接进行SQL语句拼接。可能有些读者不太明白。下面通过一个登录时对用户验证来说明:code: 验证时的sql语句: select * from where user='"+txtUsername.Text+"' and pwd='...
CSRF攻击 CSRF攻击概述 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的...
在做网站的优化以及网站安全的时候,分析网站的日志是非常重要的,但是公司的服务器是IIS的,以前弄的是linux的服务器,不知道该怎么弄,最终找到了解决办法。 1、iis默认是有日志的,在iislog下 2、日志文件在这里 C:inetpublogsLogFiles...
如今,用ASP技术构建的网站随处可见。由于ASP脚本是在服务器上解释执行的(无法编译),因此你辛苦开发出来的ASP代码,很容易被人拷去任意修改,如何保护ASP源代码呢?这是每个ASP站长都会遇到的难题,网上求解这类问题的帖子非常多,下面我们就来谈谈ASP程序的加密方法。 一、如何加密ASP程序? 目前对ASP程序的加密方法主要有三种:脚本编码器...
xp系统下安装IIS5,并设置好网站路径,但是访问网站时需要输入用户名和密码,这个问题极大可能是因为你网站放置在一个文件系统为NTFS的盘符上,而IIS默认的访问用户时IUSR开头的来宾账户,而此IUSR开头的账户对放置网站的那个文件夹没有访问权限,从而导致访问网站时需要输入用户名和密码的问题。 要解决这个问题,首先要将xp系统下的NTFS类型的盘符的安...
通过 SSL 加密的 HTTPS 连接访问网站时,需要安装并配置一个受信任的 CA根证书(Trusted CA Root Certificate)。平常访问一些加密网站之所以不需要自己安装证书,是因为系统或浏览器已经提前安装了一些受信任机构颁发的证书。但有些时候访问一些组织或个人自己签发证书的网站的时候,就会收到浏览器发出的警告。此时可以将该证书添加到“受...
Chrome 浏览器显示“网站连接不安全”,这可能是您最近访问网站时经常遇到的问题,浏览器地址栏中域名前面显示圆圈i图标和“不安全”字样,点击这个字样,就会看到红字警告“你与此网站之间建立的连接不安全”,这是怎么回事?这样的网站可以继续访问吗? Chrome 浏览器显示“网站连接不安全”的原因“你与此网站之间建立的连接不安全”这是浏览器对HTTP网站的警告...
最近在维护一些老项目,调试时发现请求屡屡被拒绝,仔细看了一下项目的源码,发现有csrf token校验,借这个机会把csrf攻击学习了一下,总结成文。本文主要总结什么是csrf攻击以及有哪些方法来防范,接下来会再写一篇文章,从源码中来学习一下实战中是如何防御csrf攻击的。 主要内容如下: 什么是CSRF攻击 几种常见的攻击类型 CSRF的特点 防护策略...