微慑信息网

读书笔记-白帽子讲WEB安全

默认安全 security of default

最小化权限原则

不可预测性原则

纵深防御原则

数据与代码分离原则

黑白名单原则

#Oracle+Java环境可能存在命令执行

#字符编码转义:宽字符集

0xbf27 or 1=1  –>0xbf5c27

#SQL注入的防范:

使用预编译语句、检查参数类型、使用存储过程、使用正确编码、使用安全函数

#代码注入:eval()、system() ;|,

#crlf注入,通过\n\r进行注入换行记录伪造、set-cookie;两次换行\r\n表示http header结束;应对办法:处理好\r、\n等系统保留字符即可

#上传截断 %00、x.php[\0].jpg、apache的文件解析从后向前如x.php.1.1.1.1.rar、IIS下的;

#浏览器MIME sniff功能读取文件前256个字节来判断文件类型

 

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 读书笔记-白帽子讲WEB安全

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册