互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发展，不断引入 CSP、Same-Site Cookies 等新技术来增强安全性，但是仍存在很多潜在的威胁，这需要前端技术人员不

XSS 的防御很复杂，并不是一套防御机制就能就解决的问题，它需要具体业务具体实现。 目前来说，流行的浏览器内都内置了一些 XSS 过滤器，但是这只能防御一部分常见的 XSS，而对于网站来说，也应该一直寻求优秀的解决方案，保护网站及用户的安全，我将阐述一下网站在设计上该如何避免 XSS 的攻击。 HttpOnly HttpOnly 最早是由微软提出，并在 IE 6 中实现的，至今已经逐渐成为一个标准

php因天生支持web应用的开发，以其简单易学，开发效率高而备受喜爱。使其占据了大片的市场。但是php本身的安全问题却一直不曾消停，以及不规范的php代码编写规范，使得web应用漏洞百出。这篇文章从配置文件和代码编写角度出发，总结记录php相关安全。新手上路，向前辈致敬。 请充分了解你的php 基本信息 注意到以下的文件结构在新版本php或者不同的发行版中略有不同，就好比在ubuntu18.04中

ecshop漏洞于2018年9月12日被某安全组织披露爆出，该漏洞受影响范围较广，ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响，主要漏洞是利用远程代码执行sql注入语句漏洞，导致可以插入sql查询代码以及写入代码到网站服务器里，严重的可以直接获取服务器的管理员权限，甚至有些网站使用的是虚拟主机。 可以直接获取网站ftp的权限，该漏洞POC已公开，使

ThinkPHP 5.0是目前最新的版本，历经多年的升级完善，深受网站设计公司的喜欢，在互联网上也是一个开源的，免费、多个功能插件、API接口功能强悍的PHP 语言开发的一款程序，ThinkPHP从设计以来一直秉承简洁实用的设计原则，在保证出色的性能和至简的代码的同时，也很注重实用性。 SINE安全公司在对其最新版本的程序进行网站安全审计的时候，发现该程序存在数据库密码信息泄露漏洞，在PDO PH

移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发展，不断引入 CSP、Same-Site Cookies 等新技术来增强安全性，但是仍存在很多潜在的威胁，这需要前端技术人员不断进行“查漏补缺”。 前端安全 近几年，美团业务高速发展，前端随之面临很多安全挑战，因此积累了大量的实

案例一、某财经 APP 的订阅杂志 这个杂志是我最喜欢的阅读内容没有之一，我买了三年的订阅了。上周过期了，却想看我离线了的去年杂志中的一篇文章，结果发现打不开。瞬间不爽，让我动了杀心，就用著名网络调试工具 Surge 直接在手机上用中间人攻击抓了一下她的包。 结果发现他的杂志列表是这样的： 注意 package_path！这玩意绝绝绝绝对不应该露出来的。 随手 wget 了杂志链接，发现开发者貌似

很多人一提到 HTTPS，第一反应就是安全，对于普通用户来说这就足够了； 对于程序员来说，有必要了解下 HTTP 到底有什么问题？HTTPS 是如何解决的？其背后的解决思路和方法是什么？ 下面坐下简单的描述，HTTPS 体系非常复杂，自己无法做到很详细和精准的分析。 性能 HTTP 有典型的几个问题，第一就是性能，HTTP 是基于 TCP 的，所以网络层就不说了（快慢不是 HTTP 的问题）。 比

  宝塔Linux大家应该都很熟悉，宝塔面板是一款国人开发的主机控制面板，对于不熟悉Linux操作代码的小白，有了这款面板可以说是分分钟可以驾驭难以控制的Linux操作系统，宝塔控制面板拥有一键创建网站、FTP、数据库、SSL；安全管理，计划任务，文件管理，PHP多版本共存及切换，自带LNMP与LAMP等众多亮点功能，基于以上的各种优点，本站开发的系统现在主流环境都已经切换到宝塔Linux上。 接

手机TIM收到一个企业网站客户信息，告知其某个网站打开之后直接跳转到非他们的网站。通过QQ备注知道这个企业网站客户是去年还是前年的时候通过谁谁谁准备让我们给重新做网站的，最后没有让做。但是自带的三个网站搬迁到我们这边服务器让管理。 本身解决这个问题的业务不属于我们管理范畴，因为客户每年只支付三个网站的虚拟主机费用，并没有提供确保网站安全管理，之前有看到这个客户网站，其程序是直接套用的网上免费自助建

常见的php后门基本需要文件来维持（常规php脚本后门：一句话、大马等各种变形；WebServer模块：apache扩展等，需要高权限并且需要重启WebServer），或者是脚本运行后删除自身，利用死循环驻留在内存里，不断主动外连获取指令并且执行。两者都无法做到无需高权限、无需重启WeServer、触发后删除脚本自身并驻留内存、无外部进程、能主动发送控制指令触发后门（避免内网无法外连的情况）。 而

Web 安全，我们前端可能接触较多的是 XSS 和 CSRF。工作原因，在所负责的内部服务中遭遇了SSRF 的困扰，在此记录一下学习过程及解决方案。SSRF（Server-Side Request Forgery），即服务端请求伪造，是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF 攻击的目标是从外网无法访问的内部系统。 SSRF 形成的原因大都是由于服务端提供了从其他服

本文主要侧重于分析几种常见的攻击的类型以及防御的方法。 一、XSS XSS (Cross-Site Scripting)，跨站脚本攻击，因为缩写和 CSS重叠，所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 跨站脚本攻击有可能造成以下影响: 利用虚假输入表单骗取用户个人信息。 利用脚本窃取用户的Cook

HTTP 严格传输安全（HSTS）是一种安全功能，web 服务器通过它来告诉浏览器仅用HTTPS 来与之通讯，而不是使用 HTTP。 HSTS 不仅会告知浏览器自动请求 HTTPS 页面（即使用户在浏览器地址栏中输入的是 http），还会告知搜索引擎及搜索结果中提供安全网址，从而最大限度地降低了向用户提供不安全内容的风险。要支持 HSTS，请使用支持 HSTS 的网络服务器并启用该功能。 虽然 H

CSRF全称Cross Site Request Forgery，即跨站点请求伪造，通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接，或提交数据，应该同时提交一个token参数。另外，您的应用如果有副作用，也务必需要加入CSRF Token。 通过GET方法提交，如果您的目标地址是cmd.php，那么您可以使用以下函数： 1 如果不是，那么您也可

0×00 背景 网站为了实现加速访问，会将用户访问过的页面存入缓存来减小数据库查询的开销。而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能。（漏洞详情见参考资料） 本文将会详细讲解： 1. 如何判断缓存漏洞存在的可能性 2. 如何利用Thinkphp5的框架漏洞结合网站的一些配置实现前台getshell 希望可以给予读者一些关于漏洞应用的启发。 0×01 环境 测试环境 1.某基于搭

们一起来对“帝国”CMS进行一次入侵检测。 漏洞的成因： 都说安全是一个整体，千里之堤毁于蚁穴，往往一个看似坚不可摧的网站系统，在某个不被注意的角落出现了一个极小的疏忽，结果导致整个网站被黑客攻陷。“帝国”CMS正是这样被攻破的，先让我们来探索问题的究竟。 问题出在“帝国”CMS附带的留言板程序上，由于留言板功能相对于“帝国”CMS而言显得较为鸡肋，因此很少有站长重视它，可问题却偏偏出现在 留言板

如今流量劫持、数据泄漏、钓鱼欺诈等安全问题层出不断，网站启用SSL证书实现HTTPS加密已经成为一种潮流，通过安装SSL证书可以保护网站的数据传输安全，向用户证明网站的真实身份，网民可以通过SSL证书的展示信息，判断一个网站的安全性、真实性和合法性。 HTTPS加密已经成为网民比较熟悉的、判断网站安全性的有效依据之一。然而，当进行在线支付、网银交易等涉及资金安全的敏感操作时，仅看HTTPS还不够，

网站想要做到安全，那么都是需要经过网站认证的，也就是https认证，https认证后才算是安全，那么什么是https认证呢，下面就来看看吧。 首先，所谓的网站认证，指的就是经过CA机构颁布的https证书进行认证和配置，https证书认证完才算网站安全。而https是一种非常安全的SSL证书，而且因为是专业的CA机构颁布的，所以深受网络使用者们的喜爱，但是https想要正常配置和使用的话，是必须要

提高网站的安全性，一般会在比较敏感的部分页面采用https传输，比如注册、登录、控制台等。像Gmail、网银等全部采用https传输。 https/ssl 主要起到两个作用：网站认证、内容加密传输和数据一致性。经CA签发的证书才起到认证可信的作用，所有有效证书均可以起到加密传输的作用。浏览器与SSL证书 上图是IE和Chrome上对https的不同表现。 Chrome 网站安全性指示器说明：htt