《Web入侵安全测试与对策》章节试读

《Web入侵安全测试与对策》的笔记-第22页 - 防范网站攻击

本书主要的例子都是coldfusion，过时
攻击工具：Paros，nikto
防范工具：iislockdown，pagespy
防范网页遍历攻击
方法1：方法2：CGI，标记隐藏域
会话劫持不按顺序访问页面有可能可以查看到敏感信息或获得非法信息隐藏域隐藏链接跳转指向例子隐藏域隐藏cookie例子会话劫持XSScookieXSS

《Web入侵安全测试与对策》的笔记-第30页

客户机是不可信任的。任何在客户机上对用户输入进行的限制都需要在服务器端进行再一次的验证。

《Web入侵安全测试与对策》的笔记-第12页

淘金：
1.html代码中嵌入的注释
2.html代码中敏感信息
3.服务器端的出错信息和http响应
4.应用程序出错信息
反馈给用户的信息应当简洁而有价值，避免信息泄漏