互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Sa
2023-07-11
XSS 的防御很复杂,并不是一套防御机制就能就解决的问题,它需要具体业务具体实现。目前来说,流行的浏览器内都内置了一些 XSS 过滤器,但是这只能防御一部分常见的 XSS,而对于网站来说,也应该一直寻求优秀的解决方案,保护网站及用户的安全,我将阐述一下网站在设计上该如何避免 XSS 的攻击。Http
2023-07-11
php因天生支持web应用的开发,以其简单易学,开发效率高而备受喜爱。使其占据了大片的市场。但是php本身的安全问题却一直不曾消停,以及不规范的php代码编写规范,使得web应用漏洞百出。这篇文章从配置文件和代码编写角度出发,总结记录php相关安全。新手上路,向前辈致敬。请充分了解你的php基本信息
2023-07-11
ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代码执行sql注入语句漏洞,导致可以插入sql查询代码以及写入代码到网站服务器里,严重的可以直接获取服务
2023-07-10
ThinkPHP 5.0是目前最新的版本,历经多年的升级完善,深受网站设计公司的喜欢,在互联网上也是一个开源的,免费、多个功能插件、API接口功能强悍的PHP 语言开发的一款程序,ThinkPHP从设计以来一直秉承简洁实用的设计原则,在保证出色的性能和至简的代码的同时,也很注重实用性。SINE安全公
2023-07-10
移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断
2023-07-10
案例一、某财经 APP 的订阅杂志这个杂志是我最喜欢的阅读内容没有之一,我买了三年的订阅了。上周过期了,却想看我离线了的去年杂志中的一篇文章,结果发现打不开。瞬间不爽,让我动了杀心,就用著名网络调试工具 Surge 直接在手机上用中间人攻击抓了一下她的包。结果发现他的杂志列表是这样的:注意 pack
2023-07-10
很多人一提到 HTTPS,第一反应就是安全,对于普通用户来说这就足够了;对于程序员来说,有必要了解下 HTTP 到底有什么问题?HTTPS 是如何解决的?其背后的解决思路和方法是什么?下面坐下简单的描述,HTTPS 体系非常复杂,自己无法做到很详细和精准的分析。性能HTTP 有典型的几个问题,第一就
2023-07-10
宝塔Linux大家应该都很熟悉,宝塔面板是一款国人开发的主机控制面板,对于不熟悉Linux操作代码的小白,有了这款面板可以说是分分钟可以驾驭难以控制的Linux操作系统,宝塔控制面板拥有一键创建网站、FTP、数据库、SSL;安全管理,计划任务,文件管理,PHP多版本共存及切换,自带LNMP与LAM
2023-07-10
手机TIM收到一个企业网站客户信息,告知其某个网站打开之后直接跳转到非他们的网站。通过QQ备注知道这个企业网站客户是去年还是前年的时候通过谁谁谁准备让我们给重新做网站的,最后没有让做。但是自带的三个网站搬迁到我们这边服务器让管理。本身解决这个问题的业务不属于我们管理范畴,因为客户每年只支付三个网站的
2023-07-10
常见的php后门基本需要文件来维持(常规php脚本后门:一句话、大马等各种变形;WebServer模块:apache扩展等,需要高权限并且需要重启WebServer),或者是脚本运行后删除自身,利用死循环驻留在内存里,不断主动外连获取指令并且执行。两者都无法做到无需高权限、无需重启WeServer、
2023-07-10
Web 安全,我们前端可能接触较多的是 XSS 和 CSRF。工作原因,在所负责的内部服务中遭遇了SSRF 的困扰,在此记录一下学习过程及解决方案。SSRF(Server-Side Request Forgery),即服务端请求伪造,是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,
2023-07-10
本文主要侧重于分析几种常见的攻击的类型以及防御的方法。一、XSSXSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。跨
2023-07-10
HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用HTTPS 来与之通讯,而不是使用 HTTP。HSTS 不仅会告知浏览器自动请求 HTTPS 页面(即使用户在浏览器地址栏中输入的是 http),还会告知搜索引擎及搜索结果中提供安全网址,从而最大限度地降低了向用户
2023-07-10
CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用如果有副作用,也务必需要加入CSRF Token。通过G
2023-07-10
0×00 背景网站为了实现加速访问,会将用户访问过的页面存入缓存来减小数据库查询的开销。而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能。(漏洞详情见参考资料)本文将会详细讲解:1. 如何判断缓存漏洞存在的可能性2. 如何利用Thinkphp5的框架漏洞结合网站的一些配置实现前台get
2023-07-10
们一起来对“帝国”CMS进行一次入侵检测。漏洞的成因:都说安全是一个整体,千里之堤毁于蚁穴,往往一个看似坚不可摧的网站系统,在某个不被注意的角落出现了一个极小的疏忽,结果导致整个网站被黑客攻陷。“帝国”CMS正是这样被攻破的,先让我们来探索问题的究竟。问题出在“帝国”CMS附带的留言板程序上,由于留
2023-07-10
如今流量劫持、数据泄漏、钓鱼欺诈等安全问题层出不断,网站启用SSL证书实现HTTPS加密已经成为一种潮流,通过安装SSL证书可以保护网站的数据传输安全,向用户证明网站的真实身份,网民可以通过SSL证书的展示信息,判断一个网站的安全性、真实性和合法性。HTTPS加密已经成为网民比较熟悉的、判断网站安全
2023-07-10
网站想要做到安全,那么都是需要经过网站认证的,也就是https认证,https认证后才算是安全,那么什么是https认证呢,下面就来看看吧。首先,所谓的网站认证,指的就是经过CA机构颁布的https证书进行认证和配置,https证书认证完才算网站安全。而https是一种非常安全的SSL证书,而且因为
2023-07-10
提高网站的安全性,一般会在比较敏感的部分页面采用https传输,比如注册、登录、控制台等。像Gmail、网银等全部采用https传输。https/ssl 主要起到两个作用:网站认证、内容加密传输和数据一致性。经CA签发的证书才起到认证可信的作用,所有有效证书均可以起到加密传输的作用。浏览器与SSL证
2023-07-10