WEB安全性测试之 -认证与授权、Session与Cookie、DDOS拒绝服务攻击
来源:互联网 发布:多核优化软件 编辑:程序博客网 时间:2024/05/16 07:05
WEB安全性测试之
---认证与授权、Session与Cookie、DDOS拒绝服务攻击
来自视频的笔记整理
1、认证与授权
1)认证:是否可以直接登录
2)授权:是否有权限删除等
3)避免未经授权的页面可以直接访问
2、Session与Cookie
1)SessionID-Cookie欺骗
2)避免保存敏感信息到Cookie中:姓名、密码等
3)cookie的作用域:不同的应用系统不同的作用域
以phpwin和aglione为例,都存在htdoc文件下,分析进行登录的操作
在IE浏览器中寻找到密码存储的地方
工具——
因为path的作用域时/即localhost/ 因为phpwin和aglione的作用域相同,所以当查看cookiedenny时,里面的内容将会是phpwin和aglione登陆的内容。
这种情况针对租用的服务器,因为虽然是不同的域名,但是对应的是相同的根目录,最好的方法是根目录下就有一个网站,这样就可以避免cookie交叉的问题
3、DDOS分布式的拒绝服务攻击
向服务器发请求,损人不利已
1)肉鸡,埋木马——-服务器足够强大
2)攻击联盟
3)利用TCP建立连接的规则:客户端模拟一个不存在的IP地址,发送给服务端;服务端处理完后就返回,但是这时已经找不到对应的IP,连接就会等待,直到超时。
a、C-> S
b、S-->C
c、C->S
0 0
- WEB安全性测试之 -认证与授权、Session与Cookie、DDOS拒绝服务攻击
- 越权、cookie与session、认证和授权
- 安全性测试之认证授权
- web安全之分布式拒绝攻击-ddos与防范方法
- 拒绝服务攻击与周边
- 浅谈拒绝服务攻击的原理与防御(3):反射DDOS攻击利用代码
- DDOS拒绝服务攻击原理
- DDoS 分布式拒绝服务攻击
- 分布式拒绝服务攻击(DDOS)
- 分布式拒绝服务攻击(DDOS)
- 基于Web的DDos攻击与防御
- 分布式拒绝服务攻击 DDoS攻击
- 浅谈拒绝服务攻击的原理与防御(2):反射型DDOS
- web开发之cookie与session
- WEB应用之: SESSION 与 COOKIE
- Hash碰撞与拒绝服务攻击
- Hash碰撞与拒绝服务攻击
- Hash碰撞与拒绝服务攻击
- 临界区
- 学习笔记--mysql索引(一) 索引使用,index,key,primary key, unique
- Swift中的String
- 欧拉计划 7
- Ionic navigation
- WEB安全性测试之 -认证与授权、Session与Cookie、DDOS拒绝服务攻击
- 素数搜索
- trust zone之我见
- 浙江大学ZOJ 1005题 解题报告
- JAVAScript简单动画~移动方块~setInterval()~碰到边缘弹回
- 理解设计模式之代理模式
- Python 对文件内容迭代 按行处理
- 癌细胞形态学分析
- JavaSript模块化