首页 > 课程库 > Web应用安全
Web应用安全

Web应用安全

本课程主要讲解web应用安全知识,目标是让学员了解web应用方面的安全问题。未知攻焉知防,本课程将从“黑客”攻击角度来讲解如何防御,以保障数据信息安全。

PHP Web开发

10章节|6628次播放

查看课程视频学习交流群
498250891

5小时学习时长
更全面的职业课程大纲立即查看
  • 学习Web应用安全

    学习路线

    声明:不得利用所学知识进行非法攻击学习大纲理论基础SQL注入前端攻击文件上传文件包含安全加固实战演练环节 演示环境采用linux  Apache  php  mySQL学前知识点1、了解web应用的概念、web应用系统的工作原理2、数据库相关知识在SQL注入课程中会用到3、web相关知识html、J... 查看原文

  • 学习Web应用安全

    什么是web应用

    什么是web应用通常情况下,我们了解到的web应用是指提供web服务的应用系统,其实通俗讲就是一个网站,比如我们通过浏览器,向web服务器发送应用请求,也就是我们打开一个网站的链接,这个时候,服务器接收到了请求,将相应的服务器资源,比如图片,文本这些内容以网页的形式展现给访问者,也就是我们在网页上看... 查看原文

  • 学习Web应用安全

    数据库

    这部分知识我们掌握基本的增,删,改,查是必须的。而且不说我们通过查询企业管理器或者是管理工具去用鼠标点一点,而是要了解到SQL语句通过代码级别去了解,从数据中我们有下面几个例子。SQLserver熟悉SQLserver的同学大家都知道SQLserver里面有一个系统存储过程master..xp_cm... 查看原文

  • 学习Web应用安全

    操作系统

    操作系统相关的知识相对来说比较杂,从操作系统分类来说有Windows,linux还有unix操作系统。我们在平时见得比较多的是Windows,linux。当然Windows也是我们最为熟悉的,因为我们不管是在平时的办公还是生活中,我们都用到的是Windows操作系统。当然也有部分同学对linux熟悉... 查看原文

  • 学习Web应用安全

    SQL注入简介

    背景在先进行SQL注入概念之前,我们先来讲解一下背景知识。很多人都声称非常了解SQL注入,但他们听过或者见过的情况都是最为常见的,也有很大工具等。点击一下鼠标就拿到了想要的数据。当然假如你是一个攻击者,通常情况下,点击下鼠标,用工具完全可以达到攻击目的,但作为一个信息安全从业人员,我们要详细了解漏洞... 查看原文

  • 学习Web应用安全

    SQL注入原理

    首先对一个普通用户来讲,通过80端口或者443端口对web服务器进行访问,当web服务器接收到请求后,进入后台数据库发送相应的数据库查询请求,数据库返回相应的数据库给web服务器,web服务器将接收到的HTTP请求返回给用户的浏览器,这就是一个普通用户的访问。但是SQL注入恰好也是利用正常HTTP服... 查看原文

  • 学习Web应用安全

    SQL注入特点

    SQL注入攻击的主要特点1、变种极多有经验的攻击者会手工调整攻击的参数,致使攻击的数据是不可枚举的,这导致传统的特征匹配方法仅能识别到相当少的攻击。或者是最常规的攻击,难以做到防范。2、攻击简单攻击过程简单,目前互联网上流行的众多SQL注入攻击工具,攻击者借助这些工具可以很快的对目标网站进行攻击或者... 查看原文

  • 学习Web应用安全

    SQL显错型注入

    SQL注入的危害和基本的攻击流程1、绕过登陆认证2、获取数据库信息 这里用两个漏洞实验环境做一个测试用这个网站进行SQL注入的攻击或者怎么获取数据  当提交一个单引号后,网页发生了变化  And 1=1后 页面又变回了正常  当构造新的请求,页面又发生了变化,通过这样的变化,我们就可以初步判断这个网... 查看原文

  • 学习Web应用安全

    SQL注入之盲注

    SQL注入介绍:当输入user ID为1 的时候,查询到了admin用户账号的信息  输入2的时候,我们可以查询到gorden的相应信息  当我们提交一个单引号的时候,查询出错,没有返回数据  And 1=1 同样查询不到  通过这两种例子的对比,隐含的是两种注入的概念。第一种是一个显错型注入。就是... 查看原文

  • 学习Web应用安全

    用扫描器发现SQL注入

    SQL注入复习SQL注入就是通过把SQL命令插入到web表单,把请求提交到后端数据库查询,最终达到欺骗服务器执行恶意的SQL命令,获取攻击者想要的数据。具体来说,他是利用现有应用程序,也就是我们说的网站,将恶意的SQL命令注入到后天数据库引擎,引擎接收到注入的SQL命令以后,将其执行成功。它可以在w... 查看原文

  • 学习Web应用安全

    拼接SQL语句判断漏洞

    通过拼接SQL语句来判断和验证漏洞测试语句   ‘   and 1=1   and 1=2   order by   union联合查询 SELECT * FROM news WHERE id='2'' admin' or 1='1--admin' or 1='1 登录到网站的服务器,从代码级别进行... 查看原文

  • 学习Web应用安全

    拼接SQL语句验证漏洞

    And 1=1 在数据库里面又是怎样的呢?我们可以看到查询成功,输入相应的id=1的内容  Id=2 在数据库里,我们看到查询的内容为空 为什么要构造’1’ and 1=’2’ 是因为本身的代码里面id是被最外面的引号引起来的。所以我们需要把原来的单引号闭合,才能进行数据库的查询,否则这个语句是出错... 查看原文

  • 学习Web应用安全

    SQL注入进阶

    Load-file 在SQL注入中怎么使用呢?在字段7的位置使用Load-file 查询linux下的敏感文件password,查看到了password内容。当我们不知道操作系统的版本 比如到底是Windows还是linux的时候,我们怎么来判断呢?同样也有相应的函数可以看到MySQL的版本5.4.... 查看原文

  • 学习Web应用安全

    SQL注入防御

    我们web的生命周期的整个过程来看可以分为:编码阶段、测试阶段、产品化阶段。在编码阶段最为重要。如果程序员在写代码的时候对用户的输入没有进行严格的合法性验证,那可能就会写出有漏洞的程序,包括是否使用了静态查询以及是否是一个最小权限,如果不是一个最小权限,就会像刚才一样我们获取到很多数据信息,或者数据... 查看原文

  • 学习Web应用安全

    前端攻击

    前端攻击成因在web网页的脚本中,有些部分的显示内容会依据外界输入值而发生变化,而如果这些声称html的程序中存在问题,就会滋生名为跨站脚本的安全隐患XSS跨站脚本攻击:英文全称cross-site-scripting,为了区别于cascading style sheets层叠样式表(CSS),因此... 查看原文

  • 学习Web应用安全

    跨站请求伪造

    跨站请求伪造:在web应用操作中,用户登录后执行的操作有些处理一旦完成就无法注销,这里我们称之为关键处理。像用户进行信用卡支付,从用户银行卡转账,发送邮件,更改密码。或者其他一些敏感信息的关键处理,关键处理中如果存在安全隐患,就会产生跨站请求伪造的漏洞。在执行关键处理前,需要确认请求是否由用户资源发... 查看原文

  • 学习Web应用安全

    前端攻击防御

    在这个之前,我们需要对xss和csrf漏洞的基本信息进行一定的了解。比如xss跨站脚本攻击,它产生的地点一般是在web应用 html和JavaScript的地方,影响的范围是web应用的全体,影响的网站类型是在网站用户浏览器中执行html和JavaScript的标签,用户浏览这个恶意网站就会触发这个... 查看原文

  • 学习Web应用安全

    文件上传漏洞

    什么是文件上传漏洞文件上传漏洞是在用户上传了一个可执行的脚本文件,本通过此脚本文件获得了执行服务器端命令的功能,这种攻击方式是最为直接,最为有效的,有时候,几乎没有什么门槛,也就是任何人都可以进行这样的攻击。文件上传为什么会是漏洞呢?文件上传本身是没有问题的,问题是文件上传后看服务器怎么来处理,怎么... 查看原文

  • 学习Web应用安全

    文件上传另一种方式

    很多第三方上传组件都存在问题登录FCKeditor编辑器  通过上传—浏览服务器,就可以打开服务器上的一些信息,也可以通过高级—浏览服务器,从这里打开的方式更多,不止是image,还有file,flash,media。这个时候,我们同样选择上传1.php,我们可以看到在第版本下上传成功。 我们如何来... 查看原文

  • 学习Web应用安全

    绕过方式

    有两种绕过方式,一种是%00截断,一种是解析漏洞%00截断在操作系统中%00是一个空字符,有的上传文件会是这样的效果:$FILENAME=/uploads/.$_GET['$filename'].html,也就是说文件上传会被上传到upload目录下,连接到当前我们上传的文件名,再加一个.html ... 查看原文

  • 所有课件 课件所属章节:所有课件 课件
    下载
  • Exploit KB - Vulnerable Web App 源码所属章节:Exploit KB - Vulnerable Web App 源码
    下载
PHP Web开发SecRoot 

SecRoot 

TA的课程

5年信息安全行业从业经验,对系统安全有一定的研究,善于利用操作系统本身的特性进行安全防御。现供职于某创业型信息安全公司,任职信息安全产品总监,高级安全顾问。

更专业的职业课程

PHP Web开发16034位同学正在学习

PHP Web开发

一名课程顾问想与您沟通

免费电话咨询