web安全测试学习笔记
Posted 久曲健
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了web安全测试学习笔记相关的知识,希望对你有一定的参考价值。
web技术发展
静态web
动态web
- 应用程序
- 数据库
- 每人看到内容不同
- 根据用户输入返回不同结果
web攻击面
- network
- os
- webserver
- appserver
- web application
- database
- browser
http协议基础
- 明文
- 无内建的机密性安全机制
- 嗅探或代理截段可查看全部明文信息
- https只能提高传输层安全
- 无状态
-
每一次客户端和服务器端的通信都是独立的过程
- web应用需要跟踪客户端会话(多步通信)
- 不使用cookie的应用,客户端每次请求都要重新身份验证(不现实)
- session用于在用户身份验证后跟踪用户行为轨迹
提高用户体验,但增加了攻击向量
以上是关于web安全测试学习笔记的主要内容,如果未能解决你的问题,请参考以下文章