最新文章列表

AI重新定义Web安全

作者简介: 丛磊   白山合伙人兼工程副总裁。 丛磊先生2016年加入白山,主要负责云聚合产品的研发管理和云链产品体系构建等。 丛磊2006年至201 ...
baishancloud 评论(0) 有438人浏览 2017-11-06 13:44

令牌token的使用

       在涉及到关键业务操作的web页面,应为当前web页面生成一次性随机令牌,作为主会话标识的补充。在执行关键业务前,应确保用户提交的一次性随机令牌与服务器端保存的一次性随机令牌匹配,以避免跨站请求伪造(CSRF)等攻击。        1、在公共JS中定义一个function 用来生成token ,然后将生成的token赋值给JSP里的隐藏域<input id="to ...
kengun 评论(0) 有855人浏览 2016-11-30 18:59

安全基础教育第二季第1集:屡战屡败的找回密码

郑昀 创建于2015/5/19 最后更新于2015/8/7 关键词: Web安全、系统安全、Web开发、找回密码、重置密码 本文档适用人员:广义的技术人员 提纲: 堡垒是从内部攻破的 员工无知者无畏 运维配置暴露细节 后台不设防 常犯常新,屡战屡败 找回密码 图形和短信验证码 平行权限 MD5等于明文 处处留心皆学问 表单被篡改 ...
zhengyun_ustc 评论(1) 有1020人浏览 2015-09-08 17:49

关于struts2.3.4项目跨站执行脚本以及远程执行漏洞修复概要

因为近期负责的几个银行系统软件,需要交付客户,因此客户专门请了安全公司对系统进行了安全评测,结果发现了诸如跨站执行脚本,远程执行漏洞以 ...
chenbowen00 评论(0) 有886人浏览 2015-05-22 09:47

如何正确防御xss攻击

XSS:Cross Site Script,本来简写是css,但为了区别样式表的css,因此在安全领域叫做“XSS”。 XSS攻击通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。   一、HttpOnly防止劫取Cookie HttpOnly最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Jav ...
home198979 评论(2) 有26088人浏览 2014-12-10 10:54

Yii防注入攻击笔记

网站表单有注入漏洞须对所有用户输入的内容进行个过滤和检查,可以使用正则表达式或者直接输入字符判断,大部分是只允许输入字母和数字的,其它字符度不允许;对于内容复杂表单的内容,应该对html和script的符号进行转义替换:尤其是<,>,',"",&这几个符号 这里有个转义对照表:http://blog.csdn.net/xinzhu1990/articl ...
dcj3sjt126com 评论(0) 有1152人浏览 2014-10-14 22:03

零基础如何学习Web安全?

一. 首先你得了解Web   Web分为好几层,一图胜千言:    事实是这样的:如果你不了解这些研究对象是不可能搞好安全研究的。   这样看来,Web有 ...
brotherlamp 评论(0) 有107人浏览 2014-10-14 11:53

web の 浮层登录框的隐患

传统的登录框 在之前的文章流量劫持危害详细讲解了 HTTP 的高危性,以至于重要的操作都使用 HTTPS 协议,来保障流量在途中的安全。 这是最经典的登录模式。尽管主页面并没有开启 HTTPS,但登录时会跳转到一个安全页面来进行,所以整个过程仍是比较安全的 —— 至少在登录页面是安全的。 对于这种安全页面的登录模式,黑客硬要下手仍是有办法的。在之前的文章里也列举了几种最常用的方法:拦截 ...
zl378837964 评论(0) 有1066人浏览 2014-07-03 10:00

被小伙伴们蠢哭了的那些事儿:找回密码篇

郑昀 创建于2014-01-12; 最后更新于2014-01-13.   找回密码功能是漏洞传统重灾区,下面列出两个经典错误点,请引以为戒吧Web开发工程师们! Web安全 ...
zhengyun_ustc 评论(4) 有2790人浏览 2014-01-13 18:52

web常见攻击七–夸张脚本攻击(XSS)

我是在dvwa(Damn Vulnerable Web App)上学到的这些东西,我把dvwa安装在了我的免费空间上,有兴趣的可以看看。DVWA 想要用户名和密码的可以联系我:sq371426@163.com dvwa 用的验证是google提供的,详情见google CAPCTHE   web常见攻击七–夸张脚本攻击(XSS)
smallearth 评论(0) 有659人浏览 2013-12-06 20:05

web常见攻击五--sql注入(sql Injection)

web常见攻击五--sql注入(sql Injection)
smallearth 评论(0) 有630人浏览 2013-12-04 19:46

web常见攻击三 –不安全的验证码机制(Insecure CAPCTHE)

web常见攻击三 –不安全的验证码机制(Insecure CAPCTHE)
smallearth 评论(0) 有678人浏览 2013-12-03 17:58

web常见攻击一——暴力破解(Brute Force)

    转自http://www.sundabao.com/?p=127         本人也是php新手,也许写的有错,望大神指出。 所谓的暴力破解攻击就是攻击者无限次尝试用户名和密码,试图登录网站。
smallearth 评论(0) 有2080人浏览 2013-11-22 17:41

Web核心安全问题——用户可以提交任意输入

    由于应用程序无法控制客户端,用户几乎可向服务器端应用程序提交任意输入。应用程序必须假设所有输入的信息都是恶意的输入,并必须采取措 ...
sanr_ 评论(0) 有731人浏览 2013-05-21 21:55

javascript如何对location.hash过滤xss跨站脚本

场景: 需要获取类似如下url的hash值并做跳转: http://www.xxx.com/home#/comments?type=0   改进前: (function() { var originalUrl = window.location.href, toUrl = originalUrl.indexOf('#') != -1 & ...
Fonkie 评论(1) 有13893人浏览 2013-04-08 18:34

谁动了我的琴弦——会话劫持

谁动了我的琴弦——会话劫持 让我们看一个最常见的例子——会话劫持,如图10-2所示。     图10-2 会话劫持说明 如图10-2所示,受害者Alice正常的登录网站为www.buybook.com
博文视点Broadview 评论(0) 有1079人浏览 2013-01-09 15:49

保护你的会话令牌

保护你的会话令牌   通常我们会采取以下的措施来保护会话。 1.采用强算法生成Session ID 正如我们前面用Web Scrab分析的那样,会话ID必须具有随机性和不可预测性。一般来说,会话ID的长度至少为128位。下面我们就拿常见的应用服务器Tomcat来说明如何配置会话ID的长度和生成算法。 首先我们找到{TOMCAT_HOME}\conf\context.xml,然后加入下面 ...
博文视点Broadview 评论(0) 有1367人浏览 2013-01-07 10:39

IBM Rational AppScan安全报告

1.会话cookie 中缺少HttpOnly 属性。    修复任务: 向所有会话cookie 添加“HttpOnly”属性   解决方案,过滤器中, HttpServletResponse response2 = (HttpServletResponse)response; //httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问, //解 ...
yjingzeming 评论(4) 有2535人浏览 2012-07-24 15:27

谈谈前端安全规范

最近研究了css规范,下一步就是简单分析一下前端安全相关的知识。   以下内容整理之淘宝UED相关资料     1、XSS (Cross Site Script)跨站攻击脚本   ...
zhangyaochun 评论(0) 有1974人浏览 2012-05-26 15:13

最近博客热门TAG

Java(141747) C(73651) C++(68608) SQL(64571) C#(59609) XML(59133) HTML(59043) JavaScript(54918) .net(54785) Web(54513) 工作(54116) Linux(50906) Oracle(49876) 应用服务器(43288) Spring(40812) 编程(39454) Windows(39381) JSP(37542) MySQL(37268) 数据结构(36423)

博客人气排行榜

    博客电子书下载排行

      >>浏览更多下载

      相关资讯

      相关讨论

      Global site tag (gtag.js) - Google Analytics