摘要:
如果你已经有了C语言或任何一门编程语言的基础(面向对象的更好),那么学习Java语言不难,特别是本文中的基础内容。 阅读全文
摘要:
随着学习的深入和工作需求的提高,需要从会用会写进阶到会管理会维护,因此整理了SQL语句进阶篇。 阅读全文
摘要:
整理了一下Oracle SQL的基本语句,主要针对Oracle的使用者(Oracle数据库维护和管理员的常用语句之后整理),可作为一个大纲参考,对某些语句或函数并未深入的详解,只是简单列出,留个印象,真正在实践中遇到问题时能够联想起来,再Google之即可。 阅读全文
摘要:
未知攻,焉知防?通过前面的课程我们掌握了各种攻击技巧,本课将教会大家如何在企业进行安全建设,达到知攻知防的境界,这也是各个公司最终需要的安全人才。 阅读全文
摘要:
XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击,有效的防护方法就是对输出和输入均做到有效的过滤,如HTML编码,JS转义等手段。 阅读全文
摘要:
SQL盲注,与普通的SQL注入相比,数据库返回的结果不会显示在页面上,只会返回成功/失败或者真/假,这无形中加大了我们注入的难度。 阅读全文
摘要:
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 阅读全文
摘要:
由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过文件上传漏洞上传木马等操作,危害服务器的安全。对于这种漏洞,一是阻止非法文件上传,一是禁止其运行,例如通过文件重命名,压缩重生成,对存储目录执行权限控制,或者存储目录不放在web中等措施。 阅读全文
摘要:
文件包含是指页面利用url去动态包含文件(include或require等),当文件名参数可控但又过滤不严的时候,就容易被利用,有效的方法就是采用白名单的方式。 阅读全文
摘要:
CSRF本质是利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 阅读全文