读书笔记_牛客图书馆

牛客图书馆 > 读书笔记

开通博客写笔记

读书笔记

全部第1章第2章第3章第4章第5章第6章第7章第8章第9章第10章第11章第12章第13章第14章第15章第16章第17章第18章

《白帽子讲Web安全（纪念版）》第六章 HTML5安全

HTML5新标签新标签的XSS 一些XSS Filter如果建立了一个黑名单的话，则可能就不会覆盖到HTML5新增的标签和功能，从而避免发生XSS。 iframe的sandbox 在HTML5中，专门为iframe定义了一个新的属性，叫sandbox。使用s...

柚子树编辑于 2020-11-13 21:54:28
《白帽子讲Web安全（纪念版）》第七章注入攻击

注入攻击的本质，是把用户输入的数据当做代码执行。这里有两个关键条件，第一个是用户能够控制输入；第二个是原本程序要执行的代码，拼接了用户输入的数据。 SQL注入在SQL注入的过程中，如果网站的Web服务器开启了错误回显，则会为攻击者提供极大的便利，比如攻击者...

柚子树编辑于 2020-11-22 18:23:32
《白帽子讲Web安全（纪念版）》第九章认证与会话管理

认证认证的目的是为了认出用户是谁，授权的目的是为了决定用户能够做什么。认证实际上就是一个验证凭证的过程。密码密码必须以不可逆的加密算法，或者是单向散列函数算法，加密后存储在数据库中。多因素认证如果只有一个凭证被用于认证，则称为“单因素认证”；如果有...

柚子树编辑于 2020-12-05 10:58:17
《白帽子讲Web安全（纪念版）》第十一章加密算法与随机数

加密算法常见的加密算法通常分为分组加密算法和流密码加密算法两种。分组加密算法基于“分组“(block)进行操作，根据算法的不同，每个分组的长度可能不同。代表有DES、3-DES、Blowfish、IDEA、AES等。流密码加密算法每次只处理一个字节，密钥...

柚子树编辑于 2020-12-18 20:24:33
《白帽子讲Web安全（纪念版）》第八章文件上传漏洞

漏洞概述文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。”文件上传“本身没有问题，但有问题的是，文件上传后，服务器怎么处理，解释文件。文件上传后导致的问题一般有：上传文件是Web脚本语言，服务器的Web容器...

柚子树编辑于 2020-11-27 11:24:20
《白帽子讲Web安全（纪念版）》第十五章 Web Server配置安全

Web服务器安全，考虑的是应用布署时的运行环境安全。这个运行环境包括Web Server、脚本语言解释器、中间件等软件，这些软件所提供的一些配置参数，也可以起到安全保护的作用。 Web Server的安全我们关注两点：一是Web Server本身是否安全；二是...

柚子树编辑于 2021-01-15 22:16:27
《白帽子讲Web安全（纪念版）》第十三章应用层拒绝服务攻击

DDoS简介 DDoS又称为分布式拒绝服务，全称是Distributed Denial of Service。利用合理的请求造成资源过载，导致服务不可用。应用层DDoS 发生在应用层，TCP三次握手已经完成，连接已经建立。 CC攻击 Challenge Co...

柚子树编辑于 2021-01-08 22:00:31
《白帽子讲Web安全（纪念版）》第四章跨站点请求伪造（CSRF）

CSRF的全名是Cross Site Request Forgery，它是一种常见的Web攻击，但很多开发者对它很陌生。CSRF也是Web安全中最容易被忽略的一种攻击方式，甚至很多安全工程师都不太理解它的利用条件和危害，因此不予重视。但CSRF在某些时候却能够...

柚子树编辑于 2020-10-30 23:09:09
《白帽子讲Web安全（纪念版）》第三章跨站脚本攻击（XSS攻击）

XSS简介跨站脚本攻击（XSS）是客户端脚本安全中的头号大敌。跨站脚本攻击，英文全称是Cross Site Script，本来缩写是CSS，但是为了和层叠样式表（Cascading Style Sheet, CSS）有所区别，所以在安全领域叫做“XSS”。...

柚子树编辑于 2020-10-23 10:25:32
《白帽子讲Web安全（纪念版）》第五章点击劫持（ClickJacking）

什么是点击劫持点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe...

柚子树编辑于 2020-11-06 11:24:05

读书笔记

热门图书