本文主要侧重于分析几种常见的攻击的类型以及防御的方法。 一、XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过...
六大Web安全攻防解析及防御的方法
阅读全文
Web 安全漏洞 SSRF 简介及解决方案
Web 安全,我们前端可能接触较多的是 XSS 和 CSRF。工作原因,在所负责的内部服务中遭遇了SSRF 的困扰,在此记录一下学习过程及解决方案。SSRF(Server-Side Request F...
网站安全:php-fpm环境的一种后门实现
常见的php后门基本需要文件来维持(常规php脚本后门:一句话、大马等各种变形;WebServer模块:apache扩展等,需要高权限并且需要重启WebServer),或者是脚本运行后删除自身,利用死...
企业网站安全管理:被植入木马跳转网站排查过程
手机TIM收到一个企业网站客户信息,告知其某个网站打开之后直接跳转到非他们的网站。通过QQ备注知道这个企业网站客户是去年还是前年的时候通过谁谁谁准备让我们给重新做网站的,最后没有让做。但是自带的三个网...
网站使用宝塔Linux控制面板必要的安全设置说明
宝塔Linux大家应该都很熟悉,宝塔面板是一款国人开发的主机控制面板,对于不熟悉Linux操作代码的小白,有了这款面板可以说是分分钟可以驾驭难以控制的Linux操作系统,宝塔控制面板拥有...
HTTPS 到底解决了什么问题?及背后的密码学
很多人一提到 HTTPS,第一反应就是安全,对于普通用户来说这就足够了; 对于程序员来说,有必要了解下 HTTP 到底有什么问题?HTTPS 是如何解决的?其背后的解决思路和方法是什么? 下面坐下简单...
爬虫攻击者角度谈客户端 API 安全设计
案例一、某财经 APP 的订阅杂志 这个杂志是我最喜欢的阅读内容没有之一,我买了三年的订阅了。上周过期了,却想看我离线了的去年杂志中的一篇文章,结果发现打不开。瞬间不爽,让我动了杀心,就用著名网络调试...
web前端安全:如何防止CSRF攻击?
移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Sam...
Thinkphp5.0 最新SQL注入漏洞利用详情
ThinkPHP 5.0是目前最新的版本,历经多年的升级完善,深受网站设计公司的喜欢,在互联网上也是一个开源的,免费、多个功能插件、API接口功能强悍的PHP 语言开发的一款程序,ThinkPHP从设...
ecshop 远程代码执行sql注入漏洞的原因与修复方法
ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代码...
配置文件和代码编写角度出发,总结记录php开发安全规范
php因天生支持web应用的开发,以其简单易学,开发效率高而备受喜爱。使其占据了大片的市场。但是php本身的安全问题却一直不曾消停,以及不规范的php代码编写规范,使得web应用漏洞百出。这篇文章从配...
Web安全防护:XSS 的正确防御
XSS 的防御很复杂,并不是一套防御机制就能就解决的问题,它需要具体业务具体实现。 目前来说,流行的浏览器内都内置了一些 XSS 过滤器,但是这只能防御一部分常见的 XSS,而对于网站来说,也应该一直...
前端安全:如何防止XSS攻击(介绍、分类、预防和检测、总结及案例)?
互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用...
企业级安全运维体系搭建指南
本文我们将针对如何解决问题来进行详细说明,从问题入手,通过纠正或者培养良好的运维安全习惯,搭建完整的运维安全技术体系。 一、培养良好的运维安全习惯想要解决运维安全的问题,首先就必须要培养良好的运维安全...
Web安全漏洞防范之CSRF
什么是 CSRF 在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种,目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用...
Web安全防护:XSS 攻击进阶(挖掘漏洞)
XSS 的漏洞类型主要分为三类:反射型、存储型、DOM型,在本篇文章当中会以permeate生态测试系统为例,分析网站功能,引导攻击思路,帮助读者能够快速找出网站可能存在的漏洞。 反射型 XSS 挖掘...
Web安全防护:XSS 攻击进阶(初探 XSS Payload)
什么是 XSS Payload 上一章我谈到了 XSS 攻击的几种分类以及形成的攻击的原理,并举了一些浅显的例子,接下来,我就阐述什么叫做 XSS Payload 以及从攻击者的角度来初探 XSS 攻...
Web安全防护:XSS 攻击基础及原理
跨站脚本攻击(XSS)是客户端脚本安全的头号大敌。本文章深入探讨 XSS 攻击原理,下一章(XSS 攻击进阶)将深入讨论 XSS 进阶攻击方式。 XSS 简介 XSS(Cross Site Scrip...
如何判断 Linux 服务器是否被入侵及排查病毒方法?
啊,天啊,对于一个做前端开发的人来说,对服务器端的知识只略懂一二啊,黑客就知道欺负小白,入侵我的服务器。 一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器。接下来,让我们一步步来排查...
百度官方防黑指南:告诉你网站被黑怎么办?
如果发现自己网站被黑了,改如何解决呢? 以下为百度官方的《网站被黑操作指南》: 一、首先自查站点是否被黑 1.通过百度搜索资源平台的“网站体检工具”,可以对网站各项指标进行安全检测,排查网站的安全隐患...
防止网站被恶意框架嵌入的javascript代码
一直深受恶意框架嵌入的骚扰,可以说是烦不胜烦呀!几乎每天都可以在服务器日志上看到各种奇葩域名的Referring,甚至某些嚣张的直接用一个我主域名作为二级域名的仿冒域名,真的是太无耻了,据说这样的黑帽...
360网站卫士CDN设置和部署的正确使用姿势
360 网站卫士的设置和部署都很简单,这点儿也是蛮符合 360 一贯的产品设计风格的。 开始之前明月先给大家总结一下为什么我一直极力推荐大家使用 360 网站卫士作为首选 CDN ,大家可以根据自己站...
阿里云ECS关闭删除阿里云盾(安骑士)WAF 防火墙方法收集汇总
阿里云 ECS 里都被自动安装了阿里云盾(安骑士)的 WAF 防火墙,就明月的经验和观察来看基本是没有啥卵用的,唯一的用处就是记录一些所谓的漏洞、扫描/注入攻击以便在阿里云后台提示用户购买使用收费版“...
选择什么样的虚拟主机比较安全?
所阐述的服务器安全性能是站在客户的角度来分析,旨在为大家选择服务器时提供参考。让我们一起来看看选择什么样的虚拟主机比较安全。 1、服务器操作系统:UNIXLINUX安全性能大大高于WINDOWS家族,...
6