为什么我们要使用HTTP Strict Transport Security? wenjian_tk0 2015-05-11 共430809人围观 ,发现 5 个不明物体 WEB安全网络安全 <img src="http://image.3001.net/images/2015 ...
分类:
Web程序 时间:
2018-01-18 11:42:49
阅读次数:
195
一、CORS领域问题: 1、CORS的介绍请参考:跨域资源共享简介 2、HTML5中的XHR2级调用可以打开一个socket连接,发送HTTP请求,有趣的是,上传文件这里恰恰是multi-part/form-data恰恰符合要求,不需要preflight,所而且可以带cookie等认证信息。完美的绕 ...
分类:
Web程序 时间:
2018-01-17 00:34:28
阅读次数:
226
零、前言 最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正 ...
分类:
Web程序 时间:
2018-01-09 18:42:43
阅读次数:
178
零、前言 最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正 ...
分类:
Web程序 时间:
2018-01-09 14:45:15
阅读次数:
337
转载自:https://imququ.com/post/how-to-decrypt-https.html作者: Jerry Qu Web 安全是一项系统工程,任何细微疏忽都可能导致整个安全壁垒土崩瓦解。拿 HTTPS 来说,它的「内容加密、数据完整性、身份认证」三大安全保证,也会受到非法根证书、服 ...
分类:
Web程序 时间:
2018-01-09 12:11:30
阅读次数:
327
零、前言 最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正 ...
分类:
Web程序 时间:
2018-01-07 23:34:30
阅读次数:
463
参考:http://blog.csdn.net/github_39104978/article/details/78265433 看了上面的文章,对越权操作的概念还是比较模糊,不明确实际场景。 横向越权的情况: 用户登录模块中,假设用户在忘记密码(未登录)时,想要重置密码。假设接口设计为传参只用传用 ...
分类:
Web程序 时间:
2018-01-06 14:08:40
阅读次数:
218
开篇三问 1. AJAX请求真的不安全么? 2. AJAX请求哪里不安全? 3. 怎么样让AJAX请求更安全? 前言 本文包含的内容较多,包括AJAX,CORS,XSS,CSRF等内容,要完整的看完并理解需要付出一定的时间。 另外,见解有限,如有描述不当之处,请帮忙及时指出。 __正文开始...__ ...
分类:
Web程序 时间:
2018-01-04 11:02:47
阅读次数:
244
上文说完了CSRF攻击,本文继续研究它的兄弟XSS攻击。 什么是XSS攻击 XSS攻击的原理 XSS攻击的方法 XSS攻击防御的手段 什么是XSS攻击 XSS攻击全名(Cross Site Script)跨域脚本攻击,为了跟CSS(Cascading Style Sheet)区分开来,所以缩写是XS ...
分类:
Web程序 时间:
2017-12-31 21:08:17
阅读次数:
194
CSRF 文件名为:Cross Site Request F "什么是CSRF" "CSRF是怎么产生的" "CSRF的攻击对象" "CSRG的攻击手段" "CSRF的防御措施" 什么是CSRF 全称是(Cross Site Request Forgery)跨站请求伪造。也就是恶意网站伪装成用户向目 ...
分类:
Web程序 时间:
2017-12-30 12:26:54
阅读次数:
216
