51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

测试开发精英班,通向高级软件测试工程师【好消息】企业内训服务上线啦!项目为王,自动化测试提升加速器 !横扫BAT,Python全栈测试开发技能大全
【115期】:如何从测试工程师成长为测试开发? 参与调查问卷 缔造行业趋势 月薪15K+的测试开发必备技能? 【活动】为视频UP主打CALL,互动领福利!
查看: 695|回复: 0

web安全(web应用安全)

[复制链接]

该用户从未签到

发表于 2018-4-26 16:50:08 | 显示全部楼层 |阅读模式
甲方和乙方:

甲方:腾讯阿里等,需要安全服务的公司

乙方:提供安全服务、产品而服务型安全公司(绿盟、知道创宇、安天等)

Web与二进制:

web:研究web安全

二进制:研究如客户端安全等

web安全问题:

SQL注入、XSS(跨站脚本攻击)

web安全的本质是信任问题:由于信任,正常处理用户恶意输入导致问题产生,非预期的输入

访问网址的过程:

1.输入网址

2.浏览器查找域名的IP地址

3.浏览器给web服务器发送一个HTTP请求

4.服务端处理请求

5.服务端发回一个HTTP响应

6.服务器渲染展示HTML

URL(统一资源定位器)


http/https:

https数据请求进行了加密(ssl加密)

Cookie:


Session:


Session/Cookie:

Cookie数据保存在客户端浏览器,Session保存在服务器,

服务端保存机制需要在客户端做标记,所以Session可能借助Cookie机制

Cookie通常用于客户端保存用户的登录状态

浏览器特性与安全策略

同源策略

同源策略规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源

同域/不同域


授权:

通过HTTP响应头返回的字段进行设置

Access-Control-Allow-Origin:http://www.xxx.com

沙盒框架(Sandboxed frame)

<iframe style="width:800px;height:600px" src="https://www.baidu.com/" sandbox="allow-forms allow-scripts">


flash安全沙箱


Cookie安全策略


内容安全策略(Content Security Policy,CSP)

通过编码在HTTP响应头中的指令来实施策略



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /2 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2020-10-31 15:30 , Processed in 0.060785 second(s), 25 queries .

Powered by Discuz! X3.2

© 2001-2020 Comsenz Inc.

快速回复 返回顶部 返回列表