【1对1】web安全测试技术_网络安全培训_系统运维培训_陈连栋-跟谁学
搜索你想学的科目、老师试试搜索
课程编号：&&&&&& 收藏（2人）手机观看纠错预约试听购买课时 请填写您的学习需求，课程顾问会在15分钟内联系您姓名：手机号： 图形验证码：换一张想学什么：预约课程顾问咨询电话：，010-预约试听购买课时
关于老师简介：安全的本质是基于信任关系的协作。教龄：4年身份认证专业认证过往经历2004年-07月 - 至今2004年-2008年就读于华北电力大学
2009年-2011年进行信息安全设备运维服务
2012年-至今进行信息安全技术培训相关案例信息安全攻防培训某大型央企信息安全渗透测试人员培训，课程内容涵盖SQL注入，文件上传，目录遍历，Web跨站，信息泄漏，密码爆破等内容，自主开发了攻防实操闯关平台，培训内容生动有趣。 上课地址仅供学生上门参考查询上课路线选择出行方式：公交驾车出发地点：查询线路
关注我们官方微信关于跟谁学服务支持帮助中心Web 安全的对于 Web 从业人员来说是一个非常重要的课题，所以在这里总结一下 Web 相关的安全攻防知识，希望以后不要再踩雷，也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。
也许你对所有的安全问题都有一定的认识，但最主要的还是在编码设计的过程中时刻绷紧安全那根弦，需要反复推敲每个实现细节，安全无小事。
本文代码 Demo 都是基于 Node.js 讲解，其他服务端语言同样可以参考。
首先说下最常见的 XSS 漏洞，XSS (Cross Site Script)，跨站脚本攻击，因为缩写和 CSS (Cascading Style Sheets) 重叠，所以只能叫 XSS。
XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。XSS 的攻击方式千变万化，但还是可以大致细分为几种类型。
非持久型 XSS
非持久型 XSS 漏洞，也叫反射型 XSS 漏洞，一般是通过给别人发送带有恶意脚本代码参数的 URL，当 URL 地址被打开时，特有的恶意代码参数被 HTML 解析、执行。
一个例子，比如你的 Web 页面中包含有以下代码：
攻击者可以直接通过 URL (类似：https://xx.com/xx?default=) 注入可执行的脚本代码。
非持久型 XSS 漏洞攻击有以下几点特征：
即时性，不经过服务器存储，直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击，拿到用户隐私数据。
攻击者需要诱骗点击
反馈率低，所以较难发现和响应修复
盗取用户敏感保密信息
为了防止出现非持久型 XSS 漏洞，需要确保这么几件事情：
Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。
尽量不要从 URL，， 等这种 DOM API 中获取数据直接渲染。
尽量不要使用 , ，，，，，， 等可执行字符串的方法。
如果做不到以上几点，也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。
前端渲染的时候对任何的字段都需要做 escape 转义编码。
escape 转义的目的是将一些构成 HTML 标签的元素转义，比如 ，， 等，转义成 ，， 等显示转义字符。有很多开源的工具可以协助我们做 escape 转义。
持久型 XSS
持久型 XSS 漏洞，也被称为存储型 XSS 漏洞，一般存在于 Form 表单提交等交互功能，如发帖留言，提交文本信息等，黑客利用的 XSS 漏洞，将内容经正常功能提交进入数据库持久保存，当前端页面获得后端从数据库中读出的注入代码时，恰好将其渲染执行。
主要注入页面方式和非持久型 XSS 漏洞类似，只不过持久型的不是来源于 URL，refferer，forms 等，而是来源于后端从数据库中读出来的数据。持久型 XSS 攻击不需要诱骗点击，黑客只需要在提交表单的地方完成注入即可，但是这种 XSS 攻击的成本相对还是很高。攻击成功需要同时满足以下几个条件：
POST 请求提交表单后端没做转义直接入库。
后端从数据库中取出数据没做转义直接输出给前端。
前端拿到后端数据没做转义直接渲染成 DOM。
持久型 XSS 有以下几个特点：
持久性，植入在数据库中
危害面广，甚至可以让用户机器变成 DDoS 攻击的肉鸡。
盗取用户敏感私密信息
为了防止持久型 XSS 漏洞，需要前后端共同努力：
后端在入库前应该选择不相信任何前端数据，将所有的字段统一进行转义处理。
后端在输出给前端数据统一进行转义处理。
前端在渲染页面 DOM 的时候应该选择不相信任何后端数据，任何字段都需要做转义处理。
基于字符集的 XSS
其实现在很多的浏览器以及各种开源的库都专门针对了 XSS 进行转义处理，尽量默认抵御绝大多数 XSS 攻击，但是还是有很多方式可以绕过转义规则，让人防不胜防。比如「基于字符集的 XSS 攻击」就是绕过这些转义处理的一种攻击方式，比如有些 Web 页面字符集不固定，用户输入非期望字符集的字符，有时会绕过转义过滤规则。
以基于 utf-7 的 XSS 为例
utf-7 是可以将所有的 unicode 通过 7bit 来表示的一种字符集 (但现在已经从 Unicode 规格中移除)。
这个字符集为了通过 7bit 来表示所有的文字, 除去数字和一部分的符号,其它的部分将都以 base64 编码为基础的方式呈现。
可以形成「基于字符集的 XSS 攻击」的原因是由于浏览器在 meta 没有指定 charset 的时候有自动识别编码的机制，所以这类攻击通常就是发生在没有指定或者没来得及指定 meta 标签的 charset 的情况下。
所以我们有什么办法避免这种 XSS 呢？
XML 中不仅要指定字符集为 utf-8，而且标签要闭合
牛文推荐：http://drops.wooyun.org/papers/1327 （这个讲的很详细）
基于 Flash 的跨站 XSS
基于 Flash 的跨站 XSS 也是属于反射型 XSS 的一种，虽然现在开发 ActionScript 的产品线几乎没有了，但还是提一句吧，AS 脚本可以接受用户输入并操作 cookie，攻击者可以配合其他 XSS（持久型或者非持久型）方法将恶意 swf 文件嵌入页面中。主要是因为 AS 有时候需要和 JS 传参交互，攻击者会通过恶意的 XSS 注入篡改参数，窃取并操作cookie。
避免方法：
严格管理 cookie 的读写权限
对 Flash 能接受用户输入的参数进行过滤 escape 转义处理
未经验证的跳转 XSS
有一些场景是后端需要对一个传进来的待跳转的 URL 参数进行一个 302 跳转，可能其中会带有一些用户的敏感（cookie）信息。如果服务器端做302 跳转，跳转的地址来自用户的输入，攻击者可以输入一个恶意的跳转地址来执行脚本。
这时候需要通过以下方式来防止这类漏洞：
对待跳转的 URL 参数做白名单或者某种规则过滤
后端注意对敏感信息的保护, 比如 cookie 使用来源验证。
CSRF（Cross-Site Request Forgery），中文名称：跨站请求伪造攻击
那么 CSRF 到底能够干嘛呢？你可以这样简单的理解：攻击者可以盗用你的登陆信息，以你的身份模拟发送各种请求。攻击者只要借助少许的社会工程学的诡计，例如通过 QQ 等聊天软件发送的链接(有些还伪装成短域名，用户无法分辨)，攻击者就能迫使 Web 应用的用户去执行攻击者预设的操作。例如，当用户登录网络银行去查看其存款余额，在他没有退出时，就点击了一个 QQ 好友发来的链接，那么该用户银行帐户中的资金就有可能被转移到攻击者指定的帐户中。
所以遇到 CSRF 攻击时，将对终端用户的数据和操作指令构成严重的威胁。当受攻击的终端用户具有管理员帐户的时候，CSRF 攻击将危及整个 Web 应用程序。
下图大概描述了 CSRF 攻击的原理，可以理解为有一个小偷在你配钥匙的地方得到了你家的钥匙，然后拿着要是去你家想偷什么偷什么。
成 CSRF 攻击必须要有三个条件：
用户已经登录了站点 A，并在本地记录了 cookie
在用户没有登出站点 A 的情况下（也就是 cookie 生效的情况下），访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。
站点 A 没有做任何 CSRF 防御
你也许会问：「如果我不满足以上三个条件中的任意一个，就不会受到 CSRF 的攻击」。其实可以这么说的，但你不能保证以下情况不会发生：
你不能保证你登录了一个网站后，不再打开一个 tab 页面并访问另外的网站，特别现在浏览器都是支持多 tab 的。
你不能保证你关闭浏览器了后，你本地的 cookie 立刻过期，你上次的会话已经结束。
上图中所谓的攻击网站 B，可能是一个存在其他漏洞的可信任的经常被人访问的网站。
CSRF 的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的 CSRF 防御也都在服务端进行。服务端的预防 CSRF 攻击的方式方法有多种，但思路上都是差不多的，主要从以下两个方面入手：
正确使用 GET，POST 请求和 cookie
在非 GET 请求中增加 token
一般而言，普通的 Web 应用都是以 GET、POST 请求为主，还有一种请求是 cookie 方式。我们一般都是按照如下规则设计应用的请求：
GET 请求常用在查看，列举，展示等不需要改变资源属性的时候（数据库 query 查询的时候）
POST 请求常用在 From 表单提交，改变一个资源的属性或者做其他一些事情的时候（数据库有 insert、update、delete 的时候）
当正确的使用了 GET 和 POST 请求之后，剩下的就是在非 GET 方式的请求中增加随机数，这个大概有三种方式来进行：
为每个用户生成一个唯一的 cookie token，所有表单都包含同一个伪随机值，这种方案最简单，因为攻击者不能获得第三方的 cookie(理论上)，所以表单中的数据也就构造失败，但是由于用户的 cookie 很容易由于网站的 XSS 漏洞而被盗取，所以这个方案必须要在没有 XSS 的情况下才安全。
每个 POST 请求使用验证码，这个方案算是比较完美的，但是需要用户多次输入验证码，用户体验比较差，所以不适合在业务中大量运用。
渲染表单的时候，为每一个表单包含一个 csrfToken，提交表单的时候，带上 csrfToken，然后在后端做 csrfToken 验证。
CSRF 的防御可以根据应用场景的不同自行选择。CSRF 的防御工作确实会在正常业务逻辑的基础上带来很多额外的开发量，但是这种工作量是值得的，毕竟用户隐私以及财产安全是产品最基础的根本。
SQL 注入漏洞（SQL Injection）是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。
而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入，使攻击者成功的向服务器提交恶意的 SQL 查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码。
很多 Web 开发者没有意识到 SQL 查询是可以被篡改的，从而把 SQL 查询当作可信任的命令。殊不知，SQL 查询是可以绕开访问控制，从而绕过身份验证和权限检查的。更有甚者，有可能通过 SQL 查询去运行主机系统级的命令。
本文内容限于篇幅过长，未能完全引用，
文章转载自网络，作者观点不代表本网站立场，如需处理请联系客服
PHP技术大全其它文章
前情提要首先，我们来看一下2018年4月发布的最新 TIOBE 指数排行榜的前 20 名（https://www.tiobe.com/tiobe-index/），如下图所示：可以看到，我大 PHP 比 2017 年 4 月同期降低了 1 个名次，但市场占有率却有了小幅上升，增加了 0.84% 到达 4.218%，还是比较稳的。接着
认识一个朋友，老家是上海的，搞了12年的技术，真心体会到技术迭代真的太快！稍微怠慢不学习就怕被淘汰，看到很多职场3年的人， 月薪连20K都拿不到，我就觉得肯定是自身技术不行！尤其在目前这种竞争激励的大环境下，懂点基础的技术是不行的，金三银四，那更要学习不断去
设计模式概念设计模式（Design Pattern）是一套被反复使用、多数人知晓的、经过分类的、代码设计经验的总结。使用设计模式的目的：为了代码可重用性、让代码更容易被他人理解、保证代码可靠性。 设计模式使代码编写真正工程化；设计模式是软件工程的基石脉络，如同大厦的
引言： 之前系列文章《认证鉴权与API权限控制在微服务架构中的设计与实现》，前面文章已经将认证鉴权与API权限控制的流程和主要细节讲解完。由于有些同学想了解下授权码模式，本文特地补充讲解。授权码类型介绍授权码类型(authorization code)通过重定向的方式让资源所有
1tfjs类目：机器学习/web前端语言：JavaScript地址：https://github.com/tensorflow/tfjs简介：A WebGL accelerated, browser based JavaScript library for training and deploying ML models. https://js.tensorflow.org简介译文：一个基于浏览器WebGL加速并用于训练和
我们知道PHP 是一门弱类型语言，不必向 PHP 声明该变量的数据类型，PHP 会根据变量的值，自动把变量的值转换为正确的数据类型，但在这个转换过程中就有可能引发一些安全问题。类型转换1、会先进行类型转换，再进行对比2、会先比较类型，如果类型不同直接返回false，参考
虽然新年刚刚过去，但是春运抢票的经历仍旧记忆犹新。12306验证码已经被市面上的各种抢票软件所破解，有的人可能就在想验证码技术是不是已经过时了，小编觉得这对验证码的理解并不是很透彻。今天小编也推荐给大家一些开源的验证码程序，希望能够对各位小伙伴们带来帮助。
一点废话接上一篇文章（PHP高级爬虫实践|记一次失败的淘宝自动登录尝试），猿哥尝试了很多种方式（包括切换浏览器和编程语言），暂时放弃使用 Facebook 的 PHP webdriver了。主要是因为资料太少了，也不想花太多时间研究 selenium 内部的数据交互和命令执行等，于是换了
几句废话笔者最近在逛sf.gg的时候，发现了一个关于每天“自动登录淘宝网站”的问题，很久没玩采集数据的我手有点痒痒，于是开始了自动登录淘宝网站的爬虫之旅。一点介绍下面的代码要实现自动登录淘宝手机网站，区别于通过 curl 等模拟请求的方式，笔者采用了 php-webdri
问题描述缓存失效：引起这个原因的主要因素是高并发下，我们一般设定一个缓存的过期时间时，可能有一些会设置5分钟啊，10分钟这些；并发很高时可能会出在某一个时间同时生成了很多的缓存，并且过期时间在同一时刻，这个时候就可能引发——当过期时间到后，这些缓存同时失
背景今天使用 chrome 浏览器打开百度首页（https://www.baidu.com），打开开发者工具，windows 下的快捷键是 F12，MAC 上的快捷键通常是option+cmd+i，接着点击 console tab，看到了下面一幕。什么，你发现了一大堆报错，那是因为笔者在 chrome 浏览器上安装了 adBlock扩
科学用脑，保护自己人体中的每一个器官都需要休息，而大脑是人体中工作最辛勤的器官，其他器官都有清除身体垃圾的淋巴系统，而大脑却没有；但最近的研究表明，睡觉时大脑会将废物沿着脑脊间的血管清出，只有在睡觉时大脑才会清理！所以真的要好好睡觉！视频非原创！编程
并不建议大家熬夜。根据经验，与其熬夜赶工，还不如立刻去睡，然后早起干活。不过，如果你是夜班族，或者偶尔确实需要熬夜，看看网友分享的熬夜小秘诀吧！1、熬夜时要吃热的东西，哪怕是一碗热的方便面也是很好的，当然热牛奶也是很不错的，但是不要吃难以消化的食物，以
认识一个朋友，老家是上海的，搞了12年的技术，真心体会到技术迭代真的太快！稍微怠慢不学习就怕被淘汰，看到很多职场3年的人， 月薪连20K都拿不到，我就觉得肯定是自身技术不行！尤其在目前这种竞争激励的大环境下，懂点基础的技术是不行的，金三银四，那更要学习不断去
1 MySQL8.0 pre-GA（pre General Avaliable:公共可用的先行版）于日发布，版本号为 8.0.12上一次的RC版本号是 8.0.4，时间是日，看来快要到 GA 版正式发行的时候了，细心的你可能会发现，为什么 MySQL6 和 MySQL7 都没有出来，怎么就直接到 MySQL
认识一个朋友，老家是上海的，搞了12年的技术，真心体会到技术迭代真的太快！稍微怠慢不学习就怕被淘汰，看到很多职场3年的人， 月薪连20K都拿不到，我就觉得肯定是自身技术不行！尤其在目前这种竞争激励的大环境下，懂点基础的技术是不行的，金三银四，那更要学习不断去
有人问猿哥，AI（人工智能）的关键是什么，我想说是大数据，如果没有学好大数据就去研究AI就等于没有学会走路就开始跑步，摔跤是必然的，主要是因为先进的AI系统都是建立在大量数据的处理之上的，因此有了下面的学习建议，愿君多采撷。近期很多人都在说想学习hadoop大数
ubuntu的启动顺序与大多数linux系统一样，ubuntu按照以下顺序启动：1. 读取MBR信息，启动Boot Manager。2. 加载系统内核，启动 init 进程， init 进程是 Linux 的根进程，所有的系统进程都是它的子进程。3. init 进程读取 /etc/inittab 文件中的信息，并进入预设的运行级
基本说明本文采用的正则表达式模式为PHP中的PCRE模式语法说明分隔符PCRE需要以分隔符将正则表达式包裹起来。分隔符可以是任意非字母数字、非反斜线、非空白符。常用的分隔符有：正斜线（/）、hash符号（#）、取反符号（~）等。示例：/foo bar/#^[^0-9]$#+php+%[a-zA-Z0-
什么是架构风格架构风格，最初是来源于建筑学的一个名词。比如你看到苏州园林，有假山，有亭台，有人工河，有直廊，你就能很容易分辨这是一种园林风格的建筑，看到房子里大都是木制，并且有榻榻米，你也能很确定这是日式风格家居。所以，像假台，亭台，木制地板，榻榻米
PHP技术大全全国|百姓网公众号微信扫码关注百姓网小程序微信扫扫立即体验扫码下载手机客户端免费抢油卡、红包、电影票web安全系统提示:系统判断您来自, 推荐您可以跳转到频道看看所属类目分类web安全1元其他 乌鲁木齐县17年12月22日　其他 崇安15年6月13日　其他 崇安15年5月31日　其他 沈河3月20日1元其他 天河17年12月22日1元其他 罗湖17年12月22日1580元化妆彩妆 金城江3月12日8元电工 来凤3月12日4999元化妆彩妆 浉河3月12日1580元化妆彩妆 金城江3月12日800元教师资格 涪城3月12日3000元厨师 沈河3月12日面议技工 丛台3月12日　财务会计 高坪3月12日4380元美容美发 丛台3月12日||||||||||沪公网安备16号1&G:60&GM:88
描述：请填写描述手机号：请填写手机号请填写手机号上传图片：打开微信，扫一扫右侧二维码，即可完成绑定 -->绑定后，您可以：1. 立即在手机上收到用户给您的留言2. 使用手机快速完成付费推广的续费动作3. 第一时间了解到百姓网付费推广最新的促销活动，以及享受微信端独特的促销活动4. 更快速地将信息通过微信分享给好友、同事、朋友圈5. 如果您是招聘类目用户，还能够第一时间接收到新简历通知63被浏览6,854分享邀请回答84 条评论分享收藏感谢收起41 条评论分享收藏感谢收起写回答1 个回答被折叠（）