web应用安全指南(二)

Referer

Referer能告诉我们当前请求从哪个连接过来,值就是哪个页面的URL。

Post和get方法

Get方法被认为有下列风险

URL中指定的参数经由referer泄露

URL中指定的参数残留在访问日志(access log)中

当所发请求符合下面任一条件时就应该使用post方法,都不符合时才使用get方法

请求中包含数据更新等副作用时

发送敏感信息时

发送的信息量很多时

Hidden参数:客户端状态的记录。

无状态的http认证

Basic认证

第一次请求需要被认证的网页时,需要发送账户和密码。以后每一次请求都会带账户和密码。换言之basic认证是无状态的。

Html认证

Digest认证

认证与授权

认证是指,通过一些方法手段来确认操作者确实是其本人。

授权是指,授权已经通过认证的用户一些权限。

Cookie回话管理

Cookie能让浏览器记忆少量数据,但保存应用程序的数据几乎不会用cookie:

Cookie能保存的值的数量和字符串长度有限

Cookie的值能被用户自己看到或更改,所以不适用于存储敏感信息

Cookie的属性


Domain:原则上不设置cookie的domain属性

Cookie的安全属性

Secure

Httponly

3.2被动攻击与同源策略


主动攻击:攻击者直接攻击web服务器。SQL注入攻击即是主动攻击的代表例子。

被动攻击:攻击者并不直接攻击服务器,而是针对网站的用户设下陷阱,利用调入陷阱的用户来攻击应用程序。

正规网站中设置陷阱的手法通常有下列四种

非法获取ftp等服务器的密码后篡改网站内容

通过攻击web服务器的安全隐患来篡改网站内容

通过sql注入攻击来篡改网站内容

在社交网络这类用户能够自己发布内容的网站上,利用跨站脚本漏洞实施攻击

浏览器的安全功能

沙盒

只有在用户确认了程序的发行方并且允许允许的情况下,程序才能被运行

提供限制程序权限的沙盒环境

沙盒限制了以下功能

禁止访问本地文件

禁止使用打印机等资源(可以显示页面)

限制网络访问

同源策略

同源策略是禁止JavaScript进行跨站访问的安全策略,他也时浏览器的沙盒环境所提供的一项制约。

JavaScript能够读取iframe内部数据

同源条件

Url的主机一只

Scheme(协议一致)

端口号一致

Script元素

Css

From元素的action属性

第一章 web应用的各种安全隐患

4.1 web应用的功能与安全隐患的对应关系


隐患和对应关系

调用SQL语句(sql注入)

调用shell命令(OS命令注入)

输出邮件头和正文(邮件头注入)

结论

处理过程与输出过程会产生安全隐患

输入过程不会产生安全隐患

输出过程产生的安全隐患名称多数带有注入

4.2输入处理与安全性

输入-处理-输出

字符编码的转换与安全性

输入校验

输入校验的目的

如果未对输入进行校验的话,或许会出现以下现象。

用户在只接受数值的项目中填入了字母或标点符号,导致保存至数据库时发生错误

更新处理时中途发生错误,导致数据库的不一致性

用户填写完很多项目后点击确认按钮时因发生了内部错误而不得不全部重新填写

程序在用户漏填邮箱地址的情况下依然执行发送邮件的处理

输入校验的目的总结

尽早发现输入错误提示用户重新输入,提高了易用性

防止错误处理造成数据不一致等,提高系统的可靠性

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,772评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,458评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,610评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,640评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,657评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,590评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,962评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,631评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,870评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,611评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,704评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,386评论 4 319
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,969评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,944评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,179评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,742评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,440评论 2 342

推荐阅读更多精彩内容

  • 第一部分 HTML&CSS整理答案 1. 什么是HTML5? 答:HTML5是最新的HTML标准。 注意:讲述HT...
    kismetajun阅读 27,406评论 1 45
  • “这首歌太TM好听了”这是《演员》给我的第一印象,就似多年前那首《认真的雪》,一样好听的旋律,一样精致的歌词,在多...
    白纸先生阅读 1,177评论 1 8
  • 冬至到 饺子俏 各种味道迎冬笑 不怕捏 不怕烫 化作美味暖人肠 一盘饺子 热腾腾 摔打蒸煮 数道功 道道经历 不露...
    神于天圣于地阅读 101评论 0 2
  • 为了让同学们对日语学习更感兴趣,新标准日本语系列悄然出炉了哦,跟着小编一起来学习,喜欢日剧、动漫的同学们突破零基础...
    悠悠飘落叶阅读 538评论 0 0
  • 把還沒睡醒的相思花插在一對對門環裡讓一切故事的開始都充滿了芳香和驚奇 ——頋城 新书、 畅销...
    有时見阅读 420评论 0 1