Nginx禁止目录列出配置 Nginx禁止目录列出配置 在PHP网站中,在没有进行配置的情况下,攻击者可以通过在网址后面加上“../”或者“/*53.pdf”等语句来读取网站目录,这是不利于服务器和网站安全的。 Nginx禁止目录列出配置 如果没有对目录列出禁止的话,将很容易收到目录遍历攻击,下图即为一次目录遍历攻击的复现。 Nginx禁止目录列出配置 目录遍历攻击的成功以后,不仅可以查看目录,还能读取相关文件的内容。 Nginx禁止目录列出配置 造成nginx目录列出的原因是主配置文件nginx.coonf中的一句代码”autoindex on”。 Nginx禁止目录列出配置 ”autoindex on”的意思是允许显示列表功能,想要禁止显示列表功能的话只需要将”autoindex on”改为”autoindex off”。 修改完重启nginx,重新尝试目录遍历攻击,发现被禁止,说明禁止目录列出配置成功。
2022-06-19 09:00:37 558KB Web应用安全
Web应用安全:针对内部网络的CSRF攻击.docx
2022-06-17 22:00:11 293KB Web应用安全
XSS对策的基础 1 输入过滤 目录 2 输出转义 输入过滤 常见的Web漏洞如XSS、SQL Injection等,都要求攻击者构造一些特殊字符,这些特殊字符可能是正常用户不会用到的,所以输入检查就有存在的必要了。 输入检查,在很多时候也被用于格式检查。 例如,用户在网站注册时填写的用户名,会被要求只能为字母、数字的组合。比如 ”hello1234“ 是一个合法的用户名,而”hello#$^"就是一个非法的用户名。这些格式检查,有点像白名单,也可以让一些基于特殊字符的攻击失效。 1.输入检查 输入过滤 输入检查的逻辑,必须放在服务器端代码中实现。 如果只是在客户端使用JavaScript进行输入检查,是很容易被攻击者绕过的。 目前Web开发的普遍做法,是同时在客户端JavaScript中和服务器代码中实现相同的输入检查。 客户端JavaScript的输入检查,可以阻挡大部分误操作的正常用户,从而节约服务器资源。 1.输入检查 输入过滤 前端渲染的过程:浏览器先加载一个静态 HTML,此 HTML 中不包含任何跟业务相关的数据然后浏览器执行 HTML 中的 JavaScriptJa
2022-06-17 22:00:10 307KB Web应用安全
Cookie的缺点 Cookie的安全隐患 Web 应用中广泛使用 Cookie 来进行会话管理,而如果 Cookie 的使用方法不当就会滋生安全隐患。与 Cookie 相关的安全隐患大致可分为以下两类。 1)Cookie 的用途不当 2)Cookie 的输出方法不当 Cookie的使用不当 Web应用中需要存储包含多个网页的信息时,一般会使用PHP或Servlet容器等提供的会话管理机制。通常情况下,会话管理机制仅将会话ID保存至Cookie,而将数据本身保存在Web服务器的内存或者文件、数据库中。如果在Cookie中保存了不该保存的数据,就有可能会产生安全隐患。 1、不该保存在Cookie中的数据: Cookie的使用不当 1、外界无法更改会话变量,而应用的而用户则能够更改自己的Cookie值。因此,如果将不希望被用户擅自更改的数据保存在Cookie中,就有可能会导致安全隐患。 2、像用户名和权限信息等,就是不可以被用户擅自更改的数据的代表性例子。一旦将这些信息保存在Cookie中,就有可能会出现用户越权操作或者越权浏览等现象。 2、Cookie和会话变量对比: Cookie的使用
2022-06-17 22:00:10 310KB Web应用安全
Web应用安全:HTTPSession.pptx
2022-06-17 22:00:09 310KB Web应用安全
抓包的对策 1 抓包工具 目录 2 抓包途径分析 抓包工具 抓包时应该根据情景的不同,站点的不同,选择最合适的抓包工具。 Fiddler Charles Wireshark Burpsuite 抓包工具 Fiddler 工具非常经典且强大,这点大家应该都所体会。 它可以提供电脑端、移动端的抓包、包括 http 协议和 https 协议都可以捕获到报文并进行分析; 可以设置断点调试、截取报文进行请求替换和数据篡改,也可以进行请求构造,还可以设置网络丢包和延迟进行 APP 弱网测试等。 1、Fiddler 抓包工具 fiddler 的第一个优点,就是功能强大并齐全; 第二个优点就是 Fiddler 是开源免费的,所有的电脑只要安装就可以直接使用所有的功能!这无疑也是一个非常大的优势,为它也拉拢了大量的用户! 当然,它也有自己的缺点:只能在 windows 下安装使用。如果要在其他系统上抓包,比如 MacOS 系统,Linux 系统,那么 Fiddler 就无用武之地了。 1、Fiddler 抓包工具 Charles 工具别名“花瓶”,它是通过代理来实现的抓包,也就是我们在访问网页时配置代理
2022-06-17 22:00:08 344KB Web应用安全
使用SQL注入绕过认证 使用SQL注入绕过认证 1、SQL注入分类 SQL注入类型 数字型注入 字符型注入 其他类型注入 使用SQL注入绕过认证 1、SQL注入分类 数字型注入 许多网页链接有类似 /users.php?id=1 的结构,基于此种形式的注入,一般被叫做数字型注入点,缘由是其注入点 id 类型为数字。假设存在一条 URL 为:HTTP:///test.php?id=1,可以对后台的 SQL 语句猜测为:SELECT * FROM table WHERE id=1。 使用SQL注入绕过认证 1、SQL注入分类 如何判断注入点为数字型注入? ① 先在输入框中输入一个单引号 ' 这样的 SQL 语句就会变为: SELECT * FROM table WHERE id=1',不符合语法,所以该语句肯定会出错,导致脚本程序无法从数据库获取数据,从而使原来的页面出现异常。 ② 在输入框中输入 and 1 = 1 SQL语句变为: SELECT * FROM table WHERE id=1 and 1 = 1 。若语句正确,执行正常,则返回的数据与原始请求无任何差异。 ③ 在输入框中
2022-06-17 22:00:08 355KB Web应用安全
实验一:HTTP协议POST 实验目的 通过ajax实例深入理解http协议之post方法。 二、实验用到的工具软件 firefox的firebug插件 抓包工具wireshark 三、实验内容与步骤 1)正常情况下的html表单提交 html源码如下: 测试
姓名: 年龄: 2022-06-17 22:00:07 362KB Web应用安全
HTTP协议GET和POST使用区别 GET和POST使用区别 在客户机和服务器之间进行请求-响应时,两种最常被用到的方法是:GET 和 POST。 GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据。 1、GET和POST是什么? GET和POST使用区别 HTTP的请求报文 我们通过一个实际的例子来看看 HTTP 的 GET 请求报文是什么样的,我们这里以访问 /search/users?q=JakeWharton 为例 2、请求方法如何使用? GET和POST使用区别 通过抓包我们得到的请求报文如下所示: 2、请求方法如何使用? GET /search/users?q=JakeWharton HTTP/1.1 Host: Connection: keep-alive Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/
2022-06-17 22:00:07 366KB Web应用安全
认证与授权实验 实验拓扑图 本次实验通过使用Cisco Secure ACS服务器实现AAA认证授权的方法 IP配置 路由器IP AAA服务器IP IP配置 客户端PC0的IP 客户端PC1的IP 路由器配置 路由器上aaa authentication配置: 启用AAA 指定服务器地址 指定服务器密码 指定首先使用TACACS+认证,其次是enable密码登录 服务器配置 Radius Server上的配置 /对本地登陆的用户进行授权,当用户在客户端使用不同的用户名和密码试图登陆,输入的用户名和密码,发送到路由器,路由器查询本地数据库的用户名和密码,如果收到的用户名和密码和本地定义的用户名匹配成功,则用户身份认证通过。完成了认证之后,即使用户的级别是15,因为已经启用了AAA,AAA的安全级别高,要想让这个15级别的用户能进入到特权模式,还必须通过授权来实现。
2022-06-17 22:00:06 369KB Web应用安全