Web应用安全

课程导师

李景山 李景山
5年WEB开发经验,痴迷于程序设计,多次担任百万级流量电商网站研发负责人,负责过多个大型综合信息网站的研发,精通移动和PC WEB开发技术。
00:00:00
Play
Next
00:00 / 00:00
40%
  • 2x
  • 1.5x
  • 1.25x
  • 1x
1x
7.前端攻击及防御
离线学习

下载APP离线观看

技能补充更多
  • Javascript初步
    Javascript初步

    Javascript是web前端开发常用技术之一,也是web前端开发必学技术之一,本章麦子学院原创JavaScript视频教程,将围绕其相关基础知识和实际应用全面讲解,让你轻松掌握并精通JavaScript的使用。

  • html5+css3
    html5+css3

    html5+css3是当下最流行的web前端开发技术之一,可快速的构建具有极佳用户体验的应用。本课程为国内最全面的html5+css3视频课程,由麦子学院资深讲师朱朝兵老师为大家讲解用HTML5+CSS3进行应用开发和布局的方法和技巧,配合经典的布局案例,帮助大家掌握最核心的应用技术。

  • Javascript初步
    Javascript初步

    javascript是一种动态类型、弱类型、基于原型的语言,广泛应用于客户端,而在Python中,JavaScript是 web前端开发不可或缺的一个技术,本章主要是麦子学院资深web前端开发工程师通过系统讲解js的语法、对象、函数、变量及其的使用等等,让零基础学员迅速入门。

  • jquery入门
    jquery入门

    Jquery是继prototype之后又一个优秀的Javascript库。Jquery兼容CSS3和各种浏览器,可使用户能更方便地处理HTML、events、实现动画效果,并且方便地为网站提供AJAX交互。本章jquery入门教程为国内最全面的jquery视频教程之一,由麦子学院资深web前端工程师魏畅然老师为你系统介绍。

  • 最新问答
  • WIKI资料
  • 课件下载
只看我参与的
  • 学习Web应用安全

    学习路线

    声明:不得利用所学知识进行非法攻击学习大纲理论基础SQL注入前端攻击文件上传文件包含安全加固实战演练环节 演示环境采用linux  Apache  php  mySQL学前知识点1、了解web应用的概念、web应用系统的工作原理2、数据库相关知识在SQL注入课程中会用到3、web相关知识html、J...

  • 学习Web应用安全

    什么是web应用

    什么是web应用通常情况下,我们了解到的web应用是指提供web服务的应用系统,其实通俗讲就是一个网站,比如我们通过浏览器,向web服务器发送应用请求,也就是我们打开一个网站的链接,这个时候,服务器接收到了请求,将相应的服务器资源,比如图片,文本这些内容以网页的形式展现给访问者,也就是我们在网页上看...

  • 学习Web应用安全

    数据库

    这部分知识我们掌握基本的增,删,改,查是必须的。而且不说我们通过查询企业管理器或者是管理工具去用鼠标点一点,而是要了解到SQL语句通过代码级别去了解,从数据中我们有下面几个例子。SQLserver熟悉SQLserver的同学大家都知道SQLserver里面有一个系统存储过程master..xp_cm...

  • 学习Web应用安全

    操作系统

    操作系统相关的知识相对来说比较杂,从操作系统分类来说有Windows,linux还有unix操作系统。我们在平时见得比较多的是Windows,linux。当然Windows也是我们最为熟悉的,因为我们不管是在平时的办公还是生活中,我们都用到的是Windows操作系统。当然也有部分同学对linux熟悉...

  • 学习Web应用安全

    SQL注入简介

    背景在先进行SQL注入概念之前,我们先来讲解一下背景知识。很多人都声称非常了解SQL注入,但他们听过或者见过的情况都是最为常见的,也有很大工具等。点击一下鼠标就拿到了想要的数据。当然假如你是一个攻击者,通常情况下,点击下鼠标,用工具完全可以达到攻击目的,但作为一个信息安全从业人员,我们要详细了解漏洞...

  • 学习Web应用安全

    SQL注入原理

    首先对一个普通用户来讲,通过80端口或者443端口对web服务器进行访问,当web服务器接收到请求后,进入后台数据库发送相应的数据库查询请求,数据库返回相应的数据库给web服务器,web服务器将接收到的HTTP请求返回给用户的浏览器,这就是一个普通用户的访问。但是SQL注入恰好也是利用正常HTTP服...

  • 学习Web应用安全

    SQL注入特点

    SQL注入攻击的主要特点1、变种极多有经验的攻击者会手工调整攻击的参数,致使攻击的数据是不可枚举的,这导致传统的特征匹配方法仅能识别到相当少的攻击。或者是最常规的攻击,难以做到防范。2、攻击简单攻击过程简单,目前互联网上流行的众多SQL注入攻击工具,攻击者借助这些工具可以很快的对目标网站进行攻击或者...

  • 学习Web应用安全

    SQL显错型注入

    SQL注入的危害和基本的攻击流程1、绕过登陆认证2、获取数据库信息 这里用两个漏洞实验环境做一个测试用这个网站进行SQL注入的攻击或者怎么获取数据  当提交一个单引号后,网页发生了变化  And 1=1后 页面又变回了正常  当构造新的请求,页面又发生了变化,通过这样的变化,我们就可以初步判断这个网...

  • 学习Web应用安全

    SQL注入之盲注

    SQL注入介绍:当输入user ID为1 的时候,查询到了admin用户账号的信息  输入2的时候,我们可以查询到gorden的相应信息  当我们提交一个单引号的时候,查询出错,没有返回数据  And 1=1 同样查询不到  通过这两种例子的对比,隐含的是两种注入的概念。第一种是一个显错型注入。就是...

  • 学习Web应用安全

    用扫描器发现SQL注入

    SQL注入复习SQL注入就是通过把SQL命令插入到web表单,把请求提交到后端数据库查询,最终达到欺骗服务器执行恶意的SQL命令,获取攻击者想要的数据。具体来说,他是利用现有应用程序,也就是我们说的网站,将恶意的SQL命令注入到后天数据库引擎,引擎接收到注入的SQL命令以后,将其执行成功。它可以在w...

  • 学习Web应用安全

    拼接SQL语句判断漏洞

    通过拼接SQL语句来判断和验证漏洞测试语句   ‘   and 1=1   and 1=2   order by   union联合查询 SELECT * FROM news WHERE id='2'' admin' or 1='1--admin' or 1='1 登录到网站的服务器,从代码级别进行...

  • 学习Web应用安全

    拼接SQL语句验证漏洞

    And 1=1 在数据库里面又是怎样的呢?我们可以看到查询成功,输入相应的id=1的内容  Id=2 在数据库里,我们看到查询的内容为空 为什么要构造’1’ and 1=’2’ 是因为本身的代码里面id是被最外面的引号引起来的。所以我们需要把原来的单引号闭合,才能进行数据库的查询,否则这个语句是出错...

  • 学习Web应用安全

    SQL注入进阶

    Load-file 在SQL注入中怎么使用呢?在字段7的位置使用Load-file 查询linux下的敏感文件password,查看到了password内容。当我们不知道操作系统的版本 比如到底是Windows还是linux的时候,我们怎么来判断呢?同样也有相应的函数可以看到MySQL的版本5.4....

  • 学习Web应用安全

    SQL注入防御

    我们web的生命周期的整个过程来看可以分为:编码阶段、测试阶段、产品化阶段。在编码阶段最为重要。如果程序员在写代码的时候对用户的输入没有进行严格的合法性验证,那可能就会写出有漏洞的程序,包括是否使用了静态查询以及是否是一个最小权限,如果不是一个最小权限,就会像刚才一样我们获取到很多数据信息,或者数据...

  • 学习Web应用安全

    前端攻击

    前端攻击成因在web网页的脚本中,有些部分的显示内容会依据外界输入值而发生变化,而如果这些声称html的程序中存在问题,就会滋生名为跨站脚本的安全隐患XSS跨站脚本攻击:英文全称cross-site-scripting,为了区别于cascading style sheets层叠样式表(CSS),因此...

  • 学习Web应用安全

    跨站请求伪造

    跨站请求伪造:在web应用操作中,用户登录后执行的操作有些处理一旦完成就无法注销,这里我们称之为关键处理。像用户进行信用卡支付,从用户银行卡转账,发送邮件,更改密码。或者其他一些敏感信息的关键处理,关键处理中如果存在安全隐患,就会产生跨站请求伪造的漏洞。在执行关键处理前,需要确认请求是否由用户资源发...

  • 学习Web应用安全

    前端攻击防御

    在这个之前,我们需要对xss和csrf漏洞的基本信息进行一定的了解。比如xss跨站脚本攻击,它产生的地点一般是在web应用 html和JavaScript的地方,影响的范围是web应用的全体,影响的网站类型是在网站用户浏览器中执行html和JavaScript的标签,用户浏览这个恶意网站就会触发这个...

  • 学习Web应用安全

    文件上传漏洞

    什么是文件上传漏洞文件上传漏洞是在用户上传了一个可执行的脚本文件,本通过此脚本文件获得了执行服务器端命令的功能,这种攻击方式是最为直接,最为有效的,有时候,几乎没有什么门槛,也就是任何人都可以进行这样的攻击。文件上传为什么会是漏洞呢?文件上传本身是没有问题的,问题是文件上传后看服务器怎么来处理,怎么...

  • 学习Web应用安全

    文件上传另一种方式

    很多第三方上传组件都存在问题登录FCKeditor编辑器  通过上传—浏览服务器,就可以打开服务器上的一些信息,也可以通过高级—浏览服务器,从这里打开的方式更多,不止是image,还有file,flash,media。这个时候,我们同样选择上传1.php,我们可以看到在第版本下上传成功。 我们如何来...

  • 学习Web应用安全

    绕过方式

    有两种绕过方式,一种是%00截断,一种是解析漏洞%00截断在操作系统中%00是一个空字符,有的上传文件会是这样的效果:$FILENAME=/uploads/.$_GET['$filename'].html,也就是说文件上传会被上传到upload目录下,连接到当前我们上传的文件名,再加一个.html ...

  • 所有课件 课件

    所有课件 课件

  • Exploit KB - Vulnerable Web App 源码

    Exploit KB - Vulnerable Web App 源码

© 2012-2016 www.maiziedu.com

蜀ICP备13014270号-4 Version 5.0.0 release20160127

你有一个红包等你领取!

免费电话咨询