我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取。所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。 HTTPS简介 HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS ...
分类:
Web程序 时间:
2018-06-27 19:32:18
阅读次数:
222
一般来说,对于何时写日志并没有明确的限制和约束,只要你觉得记录的日志是有价值的,对跟踪bug是有帮助的,你就可以去添加日志。当然一些敏感信息除外,比如你正在开发一套支付系统,不要把客户的卡号和密码等信息记录在日志中,因为日志并不会被刻意保护,有可能被其他的用户群体收集到。 另外不要担心大量的日志会对 ...
分类:
其他好文 时间:
2018-06-12 22:31:40
阅读次数:
297
了解谷歌搜索语法(google hack) 学习谷歌搜索语法的作用: 找后台、找敏感信息、观察目录结构等等。。 1. site: 搜索指定域名下的内容 站点: 网页链接 1.site: 网页链接 2.site: nem-cn.com 2.inurl: 搜索URL中存在的内容 3.intitle: 搜 ...
分类:
其他好文 时间:
2018-06-10 20:08:48
阅读次数:
222
我们知道,在页面引入图片、JS 等资源,或者从一个页面跳到另一个页面,都会产生新的 HTTP 请求,浏览器一般都会给这些请求头加上表示来源的 Referrer 字段。Referrer 在分析用户来源时很有用,有着广泛的使用。但 URL 可能包含用户敏感信息,如果被第三方网站拿到很不安全(例如之前不少 ...
分类:
其他好文 时间:
2018-06-10 00:25:55
阅读次数:
116
说明:例如将代码提交到git仓库,将一些敏感信息提交,所以需要删除提交记录以彻底清除提交信息,以得到一个干净的仓库且代码不变 1.Checkout git checkout orphan latest_branch 2. Add all the files git add A 3. Commit t ...
分类:
其他好文 时间:
2018-06-08 14:17:07
阅读次数:
305
SQL注入 什么是SQL注入呢?首先SQL注入是一种攻击手段,一种使用构造恶意的SQL语句,欺骗服务器执行SQL命令,让后台的数据库去解析,从而达到入侵目标网络,获取敏感信息的攻击手段。 MyBatis如何防止SQL注入 SQL中#和$区别 简单的说就是#{}是经过预编译的,是安全的,${}是未经过 ...
分类:
数据库 时间:
2018-05-29 10:21:05
阅读次数:
199
软件敏感信息 * 操作系统版本 可用namp扫描得知 * 中间件的类型、版本 http返回头 404报错页面 使用工具(如whatweb) * Web程序(cms类型及版本、敏感文件) 可用whatweb、cms_identify Web敏感信息 * phpinfo()信息泄漏 http://[ip ...
分类:
其他好文 时间:
2018-05-27 15:14:50
阅读次数:
186
添加Entity Data Model的时候,到最后一步,有两个radio box: 如果选择include sensitive data,虽然很方便,但是在web.config或者app.config文件的数据库链接字符串就会保留数据库的登陆密码。 如果选择不保留敏感信息,那么数据库连接字符串就会 ...
分类:
其他好文 时间:
2018-05-22 19:06:19
阅读次数:
332
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HT ...
分类:
Web程序 时间:
2018-05-18 15:49:01
阅读次数:
211
今天也是龟速前进的一天 嘤嘤嘤~ HTML <form> 元素 method属性: 规定在提交表单时所用的 HTTP 方法(默认:GET)。 何时使用 GET? 您能够使用 GET(默认方法): 如果表单提交是被动的(比如搜索引擎查询),并且没有敏感信息。 当您使用 GET 时,表单数据在页面地址栏 ...
分类:
其他好文 时间:
2018-05-11 17:25:37
阅读次数:
139
