移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发展，不断引入 CSP、Same-Site Cookies 等新技术来增强安全性，但是仍存在很多潜在的威胁，这需要前端技术人员不断进行“查漏补缺”。 前端安全 近几年，美团业务高速发展，前端随之面临很多安全挑战，因此积累了大量的实

案例一、某财经 APP 的订阅杂志 这个杂志是我最喜欢的阅读内容没有之一，我买了三年的订阅了。上周过期了，却想看我离线了的去年杂志中的一篇文章，结果发现打不开。瞬间不爽，让我动了杀心，就用著名网络调试工具 Surge 直接在手机上用中间人攻击抓了一下她的包。 结果发现他的杂志列表是这样的： 注意 package_path！这玩意绝绝绝绝对不应该露出来的。 随手 wget 了杂志链接，发现开发者貌似

很多人一提到 HTTPS，第一反应就是安全，对于普通用户来说这就足够了； 对于程序员来说，有必要了解下 HTTP 到底有什么问题？HTTPS 是如何解决的？其背后的解决思路和方法是什么？ 下面坐下简单的描述，HTTPS 体系非常复杂，自己无法做到很详细和精准的分析。 性能 HTTP 有典型的几个问题，第一就是性能，HTTP 是基于 TCP 的，所以网络层就不说了（快慢不是 HTTP 的问题）。 比

  宝塔Linux大家应该都很熟悉，宝塔面板是一款国人开发的主机控制面板，对于不熟悉Linux操作代码的小白，有了这款面板可以说是分分钟可以驾驭难以控制的Linux操作系统，宝塔控制面板拥有一键创建网站、FTP、数据库、SSL；安全管理，计划任务，文件管理，PHP多版本共存及切换，自带LNMP与LAMP等众多亮点功能，基于以上的各种优点，本站开发的系统现在主流环境都已经切换到宝塔Linux上。 接

手机TIM收到一个企业网站客户信息，告知其某个网站打开之后直接跳转到非他们的网站。通过QQ备注知道这个企业网站客户是去年还是前年的时候通过谁谁谁准备让我们给重新做网站的，最后没有让做。但是自带的三个网站搬迁到我们这边服务器让管理。 本身解决这个问题的业务不属于我们管理范畴，因为客户每年只支付三个网站的虚拟主机费用，并没有提供确保网站安全管理，之前有看到这个客户网站，其程序是直接套用的网上免费自助建

常见的php后门基本需要文件来维持（常规php脚本后门：一句话、大马等各种变形；WebServer模块：apache扩展等，需要高权限并且需要重启WebServer），或者是脚本运行后删除自身，利用死循环驻留在内存里，不断主动外连获取指令并且执行。两者都无法做到无需高权限、无需重启WeServer、触发后删除脚本自身并驻留内存、无外部进程、能主动发送控制指令触发后门（避免内网无法外连的情况）。 而

Web 安全，我们前端可能接触较多的是 XSS 和 CSRF。工作原因，在所负责的内部服务中遭遇了SSRF 的困扰，在此记录一下学习过程及解决方案。SSRF（Server-Side Request Forgery），即服务端请求伪造，是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF 攻击的目标是从外网无法访问的内部系统。 SSRF 形成的原因大都是由于服务端提供了从其他服

本文主要侧重于分析几种常见的攻击的类型以及防御的方法。 一、XSS XSS (Cross-Site Scripting)，跨站脚本攻击，因为缩写和 CSS重叠，所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 跨站脚本攻击有可能造成以下影响: 利用虚假输入表单骗取用户个人信息。 利用脚本窃取用户的Cook

HTTP 严格传输安全（HSTS）是一种安全功能，web 服务器通过它来告诉浏览器仅用HTTPS 来与之通讯，而不是使用 HTTP。 HSTS 不仅会告知浏览器自动请求 HTTPS 页面（即使用户在浏览器地址栏中输入的是 http），还会告知搜索引擎及搜索结果中提供安全网址，从而最大限度地降低了向用户提供不安全内容的风险。要支持 HSTS，请使用支持 HSTS 的网络服务器并启用该功能。 虽然 H

CSRF全称Cross Site Request Forgery，即跨站点请求伪造，通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接，或提交数据，应该同时提交一个token参数。另外，您的应用如果有副作用，也务必需要加入CSRF Token。 通过GET方法提交，如果您的目标地址是cmd.php，那么您可以使用以下函数： 1 如果不是，那么您也可

0×00 背景 网站为了实现加速访问，会将用户访问过的页面存入缓存来减小数据库查询的开销。而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能。（漏洞详情见参考资料） 本文将会详细讲解： 1. 如何判断缓存漏洞存在的可能性 2. 如何利用Thinkphp5的框架漏洞结合网站的一些配置实现前台getshell 希望可以给予读者一些关于漏洞应用的启发。 0×01 环境 测试环境 1.某基于搭

们一起来对“帝国”CMS进行一次入侵检测。 漏洞的成因： 都说安全是一个整体，千里之堤毁于蚁穴，往往一个看似坚不可摧的网站系统，在某个不被注意的角落出现了一个极小的疏忽，结果导致整个网站被黑客攻陷。“帝国”CMS正是这样被攻破的，先让我们来探索问题的究竟。 问题出在“帝国”CMS附带的留言板程序上，由于留言板功能相对于“帝国”CMS而言显得较为鸡肋，因此很少有站长重视它，可问题却偏偏出现在 留言板

如今流量劫持、数据泄漏、钓鱼欺诈等安全问题层出不断，网站启用SSL证书实现HTTPS加密已经成为一种潮流，通过安装SSL证书可以保护网站的数据传输安全，向用户证明网站的真实身份，网民可以通过SSL证书的展示信息，判断一个网站的安全性、真实性和合法性。 HTTPS加密已经成为网民比较熟悉的、判断网站安全性的有效依据之一。然而，当进行在线支付、网银交易等涉及资金安全的敏感操作时，仅看HTTPS还不够，

网站想要做到安全，那么都是需要经过网站认证的，也就是https认证，https认证后才算是安全，那么什么是https认证呢，下面就来看看吧。 首先，所谓的网站认证，指的就是经过CA机构颁布的https证书进行认证和配置，https证书认证完才算网站安全。而https是一种非常安全的SSL证书，而且因为是专业的CA机构颁布的，所以深受网络使用者们的喜爱，但是https想要正常配置和使用的话，是必须要

提高网站的安全性，一般会在比较敏感的部分页面采用https传输，比如注册、登录、控制台等。像Gmail、网银等全部采用https传输。 https/ssl 主要起到两个作用：网站认证、内容加密传输和数据一致性。经CA签发的证书才起到认证可信的作用，所有有效证书均可以起到加密传输的作用。浏览器与SSL证书 上图是IE和Chrome上对https的不同表现。 Chrome 网站安全性指示器说明：htt

　什么是CC攻击？ 关于CC攻击，这里引用百度的解释： CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时

Imperva Vitaly Simonovich和Dima Bekerman的安全研究专家发现了一种基于HTML5超链接审计功能（Ping标签）的大规模DDoS攻击。 新型DDoS攻击技术 在此次攻击活动中，DDoS攻击请求峰值达到了7500次请求/秒，在大概4个小时内攻击者总共利用了4000多个不同的用户向攻击目标发送了超过7000万次恶意请求。 Imperva的研究人员在其发布的安全分析报告

哪些文件和文件夹需要将权限设置为只读，怎么设置？ 需要设置只读权限的文件和文件夹： 是肯定需要设置的，它包含了你的数据库信息非常重要； 博客主索引文件，不是一般的重要； 你的 wordpress 设置文件，非常重要； Theme directory 目录也需要设置为已读，防止别人篡改你的主题文件。 将文件（夹）权限设置为只读文件： 可能还是有很多朋友不太明白文件权限，所谓文件权限通常表现为一个三位

明月收到了很多站长们有关 WordPress 站点安全的问题咨询，明月总结分析了一下几乎 90%以上都是“恶意代码”造成的，而给站点带来恶意代码的插件就占了 80%以上（有官网插件、网上流传的插件等等），其他的就是主题了（以破解版、盗版主题为主），其实无论是“恶意代码”还是“后门木马”都是以代码的形式在服务器上传播破坏的，今天明月就跟大家讲讲如何通过对代码的分析来提前找出这些“肮脏”的东西。 里恶

简单的java加密算法有： BASE 严格地说，属于编码格式，而非加密算法 MD(Message Digest algorithm ，信息摘要算法) SHA(Secure Hash Algorithm，安全散列算法) HMAC(Hash Message Authentication Code，散列消息鉴别码) 1. BASE Base是网络上最常见的用于传输Bit字节代码的编码方式之一，大家可以查