1.注入攻击是应用违背了"数据与代码分离原则"导致的结果。它有两个条件:一是用户能够控制数据的输入;二是代码拼凑了用户输入的数据,把数据当做代码执行了。

2.要完成webshell的攻击,要满足一下几个条件:

(1) 上传的文件能够被Web容器解释执行。所以文件上传后所在的目录要是Web容器所覆盖到的路径。

(2) 其次,用户能够从Web上访问这个文件。如果文件上传了,但用户无法通过Web访问,或者无法使得Web容器解释这个脚本,那么也不能称之为漏洞。

(3) 最后,用户上传的文件若被安全检查、格式化、图片压缩等功能改变了内容,则也可能导致攻击不成功。

3.设计安全的文件上传功能

(1) 文件上传的目录设置为不可执行

(2) 判断文件类型

(3) 使用随机数改写文件名和文件路径

(4) 单独设置文件服务器的域名

4.目前黑客们广泛使用的一种破解MD5后密码的方法是"彩虹表"。

彩虹表的思路是收集尽可能多的密码明文和明文对应的MD5值。这样只需要查询MD5值,就能找到该MD5值对应的明文。

5.解决Session Fixation的正确做法是,在登录完成后,重写SessionID。

6.完整的CSRF防御方案,对于Web框架来说有以下几处地方需要改动:

(1) 在Session中绑定token。如果不能保存到服务器端Session中,则可以替代为保存到Cookie里。

(2) 在form表单中自动填入token字段,比如<input type=hidden name="anti_csrf_token" value="$token"/>。

(3) 在Ajax请求中自动添加token,这可能需要已有的Ajax封装实心的支持。

(4) 在服务器端对比POST提交参数的token与Session中绑定的token是否一致,已验证CSRF攻击。

7.Cookie中的HTTPOnly Flag,告诉浏览器不要让Javascript访问该Cookie,在Session劫持等问题上有着积极的意义,而且成本非常小。

一般来说,框架会提供一个统一的设置Cookie函数,HttpOnly的功能可以在此函数中实现;如果没有这样的函数,则需要统一在HTTP返回头中配置实现。

8.Web框架本身也是应用程序的一个组成部分,只是这个组成部分较为特殊,处于基础和底层的位置。但我们不能迷信于Web框架本身。很多Web框架提供的安全解决方案有时并不可靠,我们仍然需要自己实现一个更好的方案。

《白帽子将Web安全》摘抄相关推荐

  1. 《TOMCAT权威指南》摘抄

    1.对每条ab请求,可以采用下列步骤得到基准调校的结果: 1.配置并重启被测试的Apache httpd和/或Tomcat实例. 2.确信服务器日志没有启动错误.如果有,请按照前面描述的步骤修正错误. ...

  2. Tomcat权威指南-读书摘要系列6

    6. Tomcat 安全防护 使用SecurityManager 在Tomcat中,决定安全策略的配置文件是$CATALINA_HOME/conf/catalina.policy,在用-securit ...

  3. 《Tomcat权威指南》读书笔记

    第一章 Tomcat的开幕式 1.Tomcat是以Java编写的,这表示在能够构建和测试它之前,必须安装最新的.完整的JAVA运行环境(JRE,Java runtime). 2.Catalina To ...

  4. Kubernetes单机创建MySQL+Tomcat演示程序:《Kubernetes权威指南》第一章demo报错踩坑

    欢迎访问我的个人博客:https://midoq.github.io/ 引言 最近做边缘计算项目,因为没有基础,所以首先学习Kubernetes.感觉系统的中文入门资料比较少,只找到<Kuber ...

  5. 《VMware vCAT权威指南:成功构建云环境的核心技术和方法》一3.6 vCloud计量

    本节书摘来自华章出版社<VMware vCAT权威指南:成功构建云环境的核心技术和方法>一书中的第3章,第3.6节,作(美)VMware vCAT 团队,更多章节内容可以访问云栖社区&qu ...

  6. Struts+2权威指南--基于WebWork核心的MVC开发源码下载

    <Struts 2权威指南--基于WebWork核心的MVC开发>李纲著,是学习Struts 2不错的书籍,这里给出光盘中带包源代码.所有例子直接放入tomcat下都能运行(个别例子有小错 ...

  7. Kubernetes权威指南(下)

    Phineas # Kubernetes权威指南<Kubernetes权威指南>第5版勘误:https://github.com/kubeguide/K8sDefinitiveGuide- ...

  8. 《HTTP权威指南》摘要

    目录 前言 第一章 HTTP 概述 第二章 URL 与资源 第三章 HTTP 报文 报文流 状态码 100~199:信息提示 200~299:成功 300~399:重定向 400~499:客户端错误 ...

  9. Kubernetes权威指南

    网站 更多书籍点击进入>> CiCi岛 下载 电子版仅供预览及学习交流使用,下载后请24小时内删除,支持正版,喜欢的请购买正版书籍 电子书下载(皮皮云盘-点击"普通下载" ...

  10. Kubernetes权威指南第2版 和 Docker技术入门与实战第2版 两本容器的书下载地址

    两本书的下载链接 下载链接 链接:https://pan.baidu.com/s/13gv0ZQRiHfvLwgwjsvUiEA 密码:hi8o Kubernetes权威指南第2版 目录: 第1章 K ...

最新文章

  1. NLP:GLUE和SuperGLUE基准的简介、任务分类、使用方法之详细攻略
  2. 国外知名的开源项目托管网站
  3. openoffice转化太慢且不能多线程_专访橙光卿蓝蓝:多线程IP如何赢在起跑线?丨制鲜者IP作者...
  4. android fastboot常见命令
  5. onu光功率多少是正常_ONU、机顶盒、路由器常见网络问题及处理方法
  6. LeetCode Palindrome Linked List (回文链表)
  7. APP设计UI优秀案例|价格标签这样设计才更直观!
  8. Pytorch:ToTensor(object)类
  9. 【专家有话说】如何用TI-ONE与Angel框架玩转腾讯广告算法大赛?
  10. 一入python深似海--正則表達式
  11. Python进行特征提取
  12. 2019南昌市计算机教师招聘,南昌民德学校2019年教师招聘公告
  13. 光环PMP 串讲冲刺 敏捷
  14. python 文件合并
  15. 分享一种写代码的字体~大写i和小写l和1,大写O和数字0区别明显
  16. Error response from daemon: conflict: unable to delete feb5d9fea6a5 (must be forced) - image is bein
  17. windows文件服务器双机热备_几款Windows与Linux双机热备软件推荐
  18. 联想Y430P 下为 Ubuntu 安装无线网络
  19. 开源OA协同办公平台搭建教程丨服务器端命令:数据导入导出及配置
  20. 囚徒健身 mobi 【分享】

热门文章

  1. 开始使用gradle(二)
  2. 安卓学习 之 广播(五)
  3. spark-jar冲突解决方案
  4. hdu 4497 GCD and LCM
  5. 【最详细】【传智播客】JavaWeb程序设计任务教程 第5、6章练习答案
  6. Linux awk编辑器及命令
  7. 史上最全的Linux常用——目录和文件管理命令——收藏这一篇就够了!(超全,超详细)
  8. 简单的docker-compose编写介绍(包含 nginx+tomcat 实例演示)
  9. 常见WEB漏洞描述及修复建议(可收藏写报告用)-句芒安全实验室
  10. 在html中横坐标是纵坐标,excel 作图中次横坐标及次纵坐标的调试,以及excel自定义轴标签的步骤方法...