微慑信息网

读书笔记-白帽子讲WEB安全

默认安全 security of default

最小化权限原则

不可预测性原则

纵深防御原则

数据与代码分离原则

黑白名单原则

#Oracle+Java环境可能存在命令执行

#字符编码转义:宽字符集

0xbf27 or 1=1  –>0xbf5c27

#SQL注入的防范:

使用预编译语句、检查参数类型、使用存储过程、使用正确编码、使用安全函数

#代码注入:eval()、system() ;|,

#crlf注入,通过\n\r进行注入换行记录伪造、set-cookie;两次换行\r\n表示http header结束;应对办法:处理好\r、\n等系统保留字符即可

#上传截断 %00、x.php[\0].jpg、apache的文件解析从后向前如x.php.1.1.1.1.rar、IIS下的;

#浏览器MIME sniff功能读取文件前256个字节来判断文件类型

 

本文标题:读书笔记-白帽子讲WEB安全
本文链接:
(转载请附上本文链接)
https://vulsee.com/archives/vulsee_2018/0129_5138.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 读书笔记-白帽子讲WEB安全
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们