第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

【花式填坑第8期】黑客搞事情?您的好友Web安全還有3秒到達現(xiàn)場

【花式填坑第8期】黑客搞事情?您的好友Web安全還有3秒到達現(xiàn)場

慕女神 2017-06-12 17:53:00
花式填坑第8期最新話題:web安全從這次蠕蟲勒索病毒事件來看,網(wǎng)絡安全已然成為備受關注的新領域。說起網(wǎng)絡安全,絕大多數(shù)人都是既熟悉又陌生。熟悉的是玩電腦的時候都知道要安裝殺毒軟件,陌生的是大家并不了解遇到安全問題該如何解決,又該如何杜絕隱患。當Web安全遭受威脅時會有哪些后果呢?輕則造成信息漏洞,重則可導致用戶遭遇不可彌補的損失。歡迎參與本期話題,與老師共同探討如何使用Web安全干掉黑客。話題交流時間:6月16日--6月18日話題交流方式:可以先在下方提問,老師會在活動期間一一給大家回復的? ? ? ? ? ? ? ???TooBug老師個人主頁,可點擊查看? 什么是坑?相信每一位熱愛學習の小伙伴都曾經(jīng)遇到過各種各樣的問題有待解決,我們稱這種懸而未決的問題為坑。在各種各樣奇奇怪怪的坑中,不乏深坑、巨坑,甚至是自己親手挖的坑,但是光挖不填何年何月才能走上人生巔峰???怎么填?每期1位大牛老師,圍繞本期話題進行答疑與互動討論??怎么參加?可根據(jù)話題主題在活動頁下方進行留言,活動期間老師會為你解答活動時間結(jié)束了還能參與話題討論嗎?可以。進行話題分享,獲取更多答案。
查看完整描述

24 回答

?
大咪

TA貢獻785條經(jīng)驗 獲得超332個贊

老師,您好,作為一名后端開發(fā)工程師javaweb而言,我覺得有許多web安全都是從用戶輸入進行攻擊的,永遠不要相信用戶這句話很著名。。所以大部分從前端頁面來做驗證,判斷,那么就java方向的后端工程師來說,有什么可以進行輔佐類的代碼思想嗎?在java方向的web開發(fā)好像比腳本語言要安全的多。。望老師解答,謝謝…

查看完整回答
28 反對 回復 2017-06-12
  • TooooBug
    TooooBug
    首先,你說得很對,永遠不要相信用戶輸入。既然如此,怎么可以信任前端驗證呢?你暴露給前端的接口,前端只要給這個接口傳數(shù)據(jù)就行了,你是無法保證這個數(shù)據(jù)是驗證/過濾過的。所以驗證/過濾這件事情一定是在后臺做的。在這個前提下,常見的安全問題都需要java后臺開發(fā)來關注。 另外說java比腳本安全得多,這個好像并沒有什么論據(jù)可以支持。java后端出的安全問題也并不比腳本語言少。
  • 大咪
    大咪 回復 TooooBug
    好的,謝謝老師……
?
蒲公英wsg

TA貢獻242條經(jīng)驗 獲得超126個贊

老師,講講怎么攻擊吧?(哈哈,我是認真的)

查看完整回答
23 反對 回復 2017-06-14
  • TooooBug
    TooooBug
    攻擊的原理的話,其實在我的課程《Web前后端漏洞分析與防御》(http://coding.imooc.com/class/104.html)中都有分析。但是如果是以攻擊為目的的話,確實在方案上會有一些不一樣。專門做攻擊的話會有很多知識庫和工具,比如SQL注入,會有各種變種的語句形式知識庫,會有自動化注入工具。這一類的東西呢,如果有興趣的話自己摸索就好啦。另外特別提醒:學會防御是要懂攻擊原理的,但是千萬不要干非法入侵的事情,否則可能有很嚴重的后果哦。
  • 蒲公英wsg
    蒲公英wsg 回復 TooooBug
    恩恩,好的。謝謝老師
?
仙士可

TA貢獻170條經(jīng)驗 獲得超132個贊

請講講sql注入,腳本注入,shell提權等等的防范吧,還有什么端口該禁用

查看完整回答
22 反對 回復 2017-06-12
  • 劉安迪2016
    劉安迪2016
    先講講你這個逗比的經(jīng)歷吧,從工廠到PHP再到單片機的經(jīng)歷。
  • TooooBug
    TooooBug
    sql注入的防范主要有幾種:一是轉(zhuǎn)義,即將用戶自己輸入的字符中可能造成注入的字符進行轉(zhuǎn)義,然后再拼接,但是這種方案變種極多,無法全部防御。二是使用ORM,一般成熟的ORM都內(nèi)置有防止SQL注入的特性。三是使用參數(shù)化查詢,這是由DB提供的特性,可以將語句分兩次查詢,第一次表示查詢意圖,第二次傳輸數(shù)據(jù),這樣就不存在注入的問題了。 腳本注入不知道是指的什么呢?XSS嗎?XSS的防御也主要有幾種:一是轉(zhuǎn)義,將HTML標簽和屬性進入轉(zhuǎn)義。二是對富文本進行白名單過濾。三是使用CSP,禁止不相關的腳本運行。 shell提權的防御的話,最主要就是做好用戶權限的限制,使用低權限用戶運行web程序。當然,防止獲取到webshell也是非常重要的。 端口的策略方面的話,應該不是問哪些該禁用,而是默認就禁用所有端口,使用到某個具體的端口的時候再放開比較好。
  • 仙士可
    仙士可
    哦,是我理解錯了,原來js腳本注入就是xss
點擊展開后面5
?
superac

TA貢獻1條經(jīng)驗 獲得超11個贊

老師先講講主要的攻擊吧,比如最新的黑客攻擊手段和工具,知已知彼才能防范漏洞哈

查看完整回答
11 反對 回復 2017-06-15
  • TooooBug
    TooooBug
    參照上方的一個回答: 攻擊的原理的話,其實在我的課程《Web前后端漏洞分析與防御》(http://coding.imooc.com/class/104.html)中都有分析。但是如果是以攻擊為目的的話,確實在方案上會有一些不一樣。專門做攻擊的話會有很多知識庫和工具,比如SQL注入,會有各種變種的語句形式知識庫,會有自動化注入工具。這一類的東西呢,如果有興趣的話自己摸索就好啦。另外特別提醒:學會防御是要懂攻擊原理的,但是千萬不要干非法入侵的事情,否則可能有很嚴重的后果哦。
?
yanrun

TA貢獻317條經(jīng)驗 獲得超240個贊

請問老師,在前后端交互的時候該怎么保護數(shù)據(jù)的安全,在對性能要求比較高的系統(tǒng)中改怎么做,加解密會消耗一定的時間,如何能既保證效率又保證安全

查看完整回答
5 反對 回復 2017-06-13
  • TooooBug
    TooooBug
    前后端交互是指數(shù)據(jù)傳輸吧?這個過程中的安全主要靠HTTPS來保證。關于HTTPS的性能,是有很多具體的優(yōu)化辦法的,做得好的可以將HTTPS加解密帶來的性能損失降到非常低。
?
7zzz

TA貢獻17條經(jīng)驗 獲得超19個贊

老師,面試時會有哪些安全相關的問題嗎

查看完整回答
4 反對 回復 2017-06-16
  • TooooBug
    TooooBug
    這個看公司風格。大部分對技術面得比較詳細的公司都會問安全的問題的。 一般會關注常見的比如 XSS CSRF SQL注入 上傳等問題的原理和修復方案。
  • TooooBug
    TooooBug
    還有密碼安全也基本上是面試必考點。
?
呆萌的代Ma

TA貢獻1條經(jīng)驗 獲得超2個贊

可以結(jié)合一些競賽總的亮點或是常用方法來講么?比如ctf奪旗賽中常用的一些攻防策略


查看完整回答
2 反對 回復 2017-06-17
  • TooooBug
    TooooBug
    這方面經(jīng)驗倒是不多,可能無法幫到你。我這邊的經(jīng)驗更多地還是從web項目實戰(zhàn)出發(fā)。項目實戰(zhàn)和競賽類的在場景和方案上應該有挺多區(qū)別的。
?
鋒君

TA貢獻31條經(jīng)驗 獲得超8個贊

感覺yii2可以過濾一部分人le

查看完整回答
2 反對 回復 2017-06-15
?
沒有故事的羊小咩

TA貢獻3條經(jīng)驗 獲得超5個贊

請問老師對于web項目怎么進行安全檢查 有哪些步驟? 最佳實踐是什么?

查看完整回答
1 反對 回復 2017-06-18
  • 沒有故事的羊小咩
    沒有故事的羊小咩
    好的 謝謝老師 如果作為一個前端(包攬node api 和模版渲染)應該怎能檢查和預防安全?也有套路走嗎?
  • TooooBug
    TooooBug
    基本也是同樣的做法,這里沒有什么通用的方案,不可能說有個東西,我一跑,它說安全就真的安全了。
  • 沒有故事的羊小咩
    沒有故事的羊小咩
    好的 謝謝老師
點擊展開后面1
?
馮小賢

TA貢獻1條經(jīng)驗 獲得超1個贊

可以來點煙花嗎,爆炸的藝術

查看完整回答
1 反對 回復 2017-06-18
?
qq_ionicRoyKent_04116743

TA貢獻12條經(jīng)驗 獲得超1個贊

網(wǎng)絡攻擊到底是怎么搞的?有沒有硝煙,有沒有炮火!,精不精彩!,刺不刺激!,能不能講講!

查看完整回答
1 反對 回復 2017-06-17
  • TooooBug
    TooooBug
    參考上方的一個回答: 攻擊的原理的話,其實在我的課程《Web前后端漏洞分析與防御》(http://coding.imooc.com/class/104.html)中都有分析。但是如果是以攻擊為目的的話,確實在方案上會有一些不一樣。專門做攻擊的話會有很多知識庫和工具,比如SQL注入,會有各種變種的語句形式知識庫,會有自動化注入工具。這一類的東西呢,如果有興趣的話自己摸索就好啦。另外特別提醒:學會防御是要懂攻擊原理的,但是千萬不要干非法入侵的事情,否則可能有很嚴重的后果哦。
?
996木馬

TA貢獻22條經(jīng)驗 獲得超303個贊

看了評論 啊哈哈哈哈 ? 都是想搞事情啊 你們這樣很危險啊

http://img.imooc.com/5943ae890001a0a102200220.jpg

查看完整回答
1 反對 回復 2017-06-16
?
996木馬

TA貢獻22條經(jīng)驗 獲得超303個贊

老師 ? 來點網(wǎng)絡攻擊的實戰(zhàn) ? ?我這才最重要的吧 懂得攻了就知道如何防

查看完整回答
1 反對 回復 2017-06-16
  • TooooBug
    TooooBug
    有攻才有防,一點沒錯。我的課程里面也會先講原理,也就是怎么去攻擊,然后才講防御。 不過,我不會在這里說有哪些地方是可以攻擊的,這個你可以自己看完課程后去找找哪些網(wǎng)站有類似問題。事實上有漏洞的網(wǎng)站一點都不難找。
?
寶慕林8489079

TA貢獻3條經(jīng)驗 獲得超0個贊

hah

查看完整回答
反對 回復 2018-11-07
?
江戶川我有一塊錢

TA貢獻5條經(jīng)驗 獲得超7個贊

如何獲得積分?

查看完整回答
反對 回復 2017-06-20
?
江戶川我有一塊錢

TA貢獻5條經(jīng)驗 獲得超7個贊

...

查看完整回答
反對 回復 2017-06-20
?
慕圣1534588

TA貢獻1條經(jīng)驗 獲得超0個贊

老師 我覺得可以來場以毒攻毒的方案來預防

查看完整回答
反對 回復 2017-06-19
?
Etoo9

TA貢獻2條經(jīng)驗 獲得超0個贊

網(wǎng)絡安全工程師前景如何?

查看完整回答
反對 回復 2017-06-18
  • TooooBug
    TooooBug
    這個也無法明確回復你,因為我自己并不是安全工程師,只是懂一點web安全的開發(fā)工程師。從我了解的情況來看,好的安全工程師還是非常吃香的。隨著移動應用的興起和云計算的興起,安全的重要性只會越來越高,這個行業(yè)的攻防深度也會越來越深。目前來看,從事app攻防(加固、保護)、服務器安全(云計算)等方面的人才前景還是比較好的。 但還是那句話,因為我不是安全工程師,所以無法客觀地告訴你各個水平能達到什么樣的職業(yè)成就。
?
qq_帥鍋_03794460

TA貢獻10條經(jīng)驗 獲得超1個贊

我用Python的話,sql注入可以防,但是xss之類的一般都是前端處理,那后端有沒有什么措施可以防?

查看完整回答
反對 回復 2017-06-18
  • TooooBug
    TooooBug
    XSS之類的一般是前端處理,這句話并不準確呀。比如富文本的過濾,前端要如何搞定呢?事實上XSS是一個前后端都需要了解的攻擊方式,有一些攻擊場景下前后端處理都可以,但像富文本這種,一般還是放在后端進行處理會安全一些。有興趣的話可以參考下我的課程《Web前后端漏洞分析與防御》(http://coding.imooc.com/class/104.html)
首頁上一頁12下一頁尾頁
  • 24 回答
  • 16 關注
  • 11547 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網(wǎng)微信公眾號