一、背景 团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。 二、编码安全 2.1...
Web安全开发规范手册V1.0
阅读全文
微信公众号爆出前端xss安全漏洞
公众号中挖掘到了一个 XSS 安全漏洞,具体复现流程如下: 发一篇公众号文章,标题中包含 <input onfocus="alert('1')"> 用户打开文章后,在写留言页面中会发现标题...
网站安全防护域名解析出现DNS劫持示意图,网站服务器部署为 https 安全协议可以解决
DNS 被劫持一般加一段js放里面,会出现广告之类的,一般出现在移动端,PC端少, 一般性的解决办法是将网站服务器部署为 https 安全协议就可以解决。 1、DNS域名拦截方式 2、DNS增加脚本方...
网站安全防护CDN和DNS劫持网络跳转,排查及解决经验分享
https://www.sojson.com 被劫持了。开始没发现,个别地区用户发现打开sojson.com或者从百度搜索 sojson 的关键词进入的时候,就跳转到了搜狗。 下面来看看一个跳转的图:...
使用GoogleHack进行SQL注入点扫描查询
0×01:简介 在使用GoogleHack进行SQL注入点查询时,手工的方法一般为通过谷歌语法的inurl判断是否存在动态查询参数,然后对查询的网站url进行手工判断是否存在SQL注入漏洞,如or 1...
网站安全防护禁止wordpress自带搜索功能,减少博客被恶意关键词搜索攻击
1、wordpress博客被恶意关键词搜索攻击 如下图所示: 不法分子利用地下室先生博客的搜索功能搜索一些违规关键词。 在博主发现这个问题之后,及时进行了处理,具体见利用百度网址安全中心和Robots...
网站安全防护WordPress 恶意代码分析和排查方法
有关 WordPress 站点安全的问题咨询,明月总结分析了一下几乎 90%以上都是“恶意代码”造成的,而给站点带来恶意代码的插件就占了 80%以上(有官网插件、网上流传的插件等等),其他的就是主题了...
什么是 JavaScript 注入攻击?方法有哪些?
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用...
web安全测试知识点和必须注意的五个方面
web应用在软件开发中所扮演的角色变得越来越重要,同时,web应用遭受着格外多的安全攻击,其原因在于,现在的网站以及在网站上运行的应用在某种意义上来说,它是所有公司或者组织的虚拟正门,所以比较容易遭受...
网站安全防护常规web渗透测试漏洞描述及36项修复建议
1、Apache样例文件泄漏 漏洞描述 apache一些样例文件没有删除,可能存在cookie、session伪造,进行后台登录操作 修复建议 1、删除样例文件 2、对apache中web.xml进行...