读《The.Web.Application.Hackers.Handbook》
来源:互联网 发布:苹果电脑翻墙 软件 编辑:程序博客网 时间:2024/06/09 08:28
Authentication与Access Control。
我一直觉得这两个安全概念是一样的,结果书上,或者很多书上,都区分了两者。Authentication就是识别身份,Access Control则是访问控制。一般来说,我认为两者是同时需要同时发挥作用。
input validation
感觉每一层的安全界的出口处进行validate是最好的。页面上JS检测。JSP在写入数据库,或者返回页面时在validate。这样其实不错。
这个挺有意思,如果程序中过滤<script>,那就字符串中带着<scr<script>ipt>,这样就没办法过滤了。
甚至可以利用过滤的顺序。如果先过滤<script>,在过滤*号,那么<scr”ipt>,也就被过滤后成<script>了,这倒是反而帮了黑客。
因此这样看来,很可能会陷入若干次的过滤之中。
从应用的角度看来,不要去打印系统错误以及调试信息。大部分服务器会提供这样的选项,不打印有信息的错误信息。
如果form中提交,下一个页面返回时,将报页面过期。如果提交时走的是函数提交form,则很可能不报过期
- 读《The.Web.Application.Hackers.Handbook》
- The Web Application Hacker's Handbook
- The Web Application Hacker's Handbook
- The Web Application Hacker's Handbook
- The Web Application Hacker's Handbook: Discovering and Exploiting, Security Flaws (Paperback) Oct.2007.eBook-BBL
- The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws
- The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws 2nd
- Web Application Design Handbook: Best Practices for Web-Based Software
- Flash Application Design Solutions: The Flash Usability Handbook (Solutions)
- Web Standards Solutions: The Markup and Style Handbook
- The Handbook of Human Factors in Web Design
- Oracle Application Server Portal Handbook
- The Requirements Engineering Handbook
- The Visualization Handbook
- The Debugger's Handbook
- hackers
- The J2EE Architect's Handbook
- The J2EE Architect's Handbook
- HF Desktop RFID Reader way lead
- va_list,va_start,va_arg,va_end的效率
- C#动态调用webservice
- SDL源码阅读笔记(1) 基本模块
- 迅雷5.9 手动 去广告
- 读《The.Web.Application.Hackers.Handbook》
- Poj 1094-Sorting It All Out [拓扑排序]
- poj 2504 Bounding box
- Flex 显示图片的常用方式
- dateField dateChoose 用法
- 图的邻接矩阵存储
- 关于.m2/setting.xml
- Log4net 之核心组成
- hpux系统启动中被某个服务hang住的解决办法
