标签归档:security

测试web应用程序的验证,会话管理,访问控制

在早期的时候,web应用程序还不能完全叫应用程序,因为那个时候的web页面都是htm页面,主要功能也只是给人家来看的,即使被攻破也只能对其进行修改或者传播一些不实消息。后来,随着网络技术的发展和人民对网络生活需求的日益提高, web程序从刚开始的给人看, 衍生出了许多贴近生活的功能,比如购物,博客,论坛。 web程序从刚开始的给人提供查看阅读变成了大众生活的一部分, 这个时候, 就要对其进行管理, 为什么要管理? 这个其实跟现实生活一个道理, 比如我买东西, 肯定得先进行确认,然后建立联系, 再进行交易, 要是不确认大家都随便买随便卖那就都乱套了,所以这个时候就得对其进行管理。 因为网络世界和现实世界终究还是有差别的, 必须把完整的指令给它它才知道做什么, 并且,一个平台上又不是只有你一个人, 如果程序要对各种用户提出的请求进行确认是否允许或者拒绝, 前提就得先进行确认,这些请求来源于谁。 web程序发展至今, 流行的验证方式就是通过账户密码from表单确认, 然后服务器颁发一个令牌, 以后客户端再提出什么请求都会带上这个令牌再次进行提交, 以此来进行身份确认。 一些保密性要求比较高的, 还会通过active控件进行加强验证。除此之外,提供验证身份确认的方式还有: 1.http基础认证方式 2. 验证服务 3. 本机导入证书验证 4. 物理令牌验证 针对验证的安全机制, 开发者大多使用这种互联的方式处理用户的访问: 身份验证 会话管理 访问控制

发表在 安全控制 | 标签为 , , , , , | 留下评论

php代码审计中常用的一些搜索关键字

sql注入 $_GET $_POST $_COOKIE $_FILES(文件名文件后缀) $_REQUEST $_SERVER 文件访问 fopen readfile file fpassthru gzopen gzfile gzpassthru readgzfile copy rename rmdir mkdir unlink file_get_contents file_put_contents parse_ini_file

发表在 php security | 标签为 , , , , | 留下评论