網(wǎng)站總是被攻擊精品文章

• 

  前端——影子殺手篇

  ...無(wú)形。前端也有影子殺手，它總是防不勝防地危害著你的網(wǎng)站 本篇打算介紹一些前端的影子殺手們——XSS和CSRF?；蛟S，你對(duì)它恨之入骨；又或者，你運(yùn)用的得心應(yīng)手。恨之入骨，可能是因?yàn)槟愕木W(wǎng)站被它搞得苦不堪言；得心應(yīng)...

  李世贊 2019-08-21 16:57 評(píng)論0 收藏0
• 

  總結(jié) XSS 與 CSRF 兩種跨站攻擊

  ...們都是屬于跨站攻擊——不攻擊服務(wù)器端而攻擊正常訪(fǎng)問(wèn)網(wǎng)站的用戶(hù)，但前面說(shuō)了，它們的攻擊類(lèi)型是不同維度上的分類(lèi)。CSRF 顧名思義，是偽造請(qǐng)求，冒充用戶(hù)在站內(nèi)的正常操作。我們知道，絕大多數(shù)網(wǎng)站是通過(guò) cookie 等方式...

  jcc 2019-08-19 17:53 評(píng)論0 收藏0
• 

  一些安全相關(guān)的HTTP header

  ...TP Strict-Transport-Security，簡(jiǎn)稱(chēng)為HSTS。 作用：允許一個(gè)HTTPS網(wǎng)站，要求瀏覽器總是通過(guò)HTTPS訪(fǎng)問(wèn)它。 strict-transport-security: max-age=16070400; includeSubDomains includeSubDomains，可選，用于指定是否作用于子域名 支持HSTS的瀏覽器遇到.....

  EscapedDog 2019-04-23 13:04 評(píng)論0 收藏0
• 

  [譯]Node.js安全清單

  ...整的例子可以參考這個(gè)nginx配置。 如果你想快速確認(rèn)你的網(wǎng)站是否都設(shè)置這些HTTP頭，你可以通過(guò)這個(gè)網(wǎng)站在線(xiàn)檢查：http://cyh.herokuapp.com/cyh 。 客戶(hù)端的敏感數(shù)據(jù) 當(dāng)部署前端應(yīng)用時(shí)，確保不要在代碼中暴露如密鑰這樣的敏感數(shù)據(jù)...

  church 2019-08-21 10:43 評(píng)論0 收藏0
• 

  HTTP 安全頭部速記

  ...Extension for HTTP HTTP Public Key Pinning （HPKP）是一種防止 HTTPS 網(wǎng)站被攻擊者使用錯(cuò)誤發(fā)布或其他欺詐性證書(shū)冒充安全證書(shū)的安全機(jī)制。例如，攻擊者可能會(huì)欺騙證書(shū)頒發(fā)機(jī)構(gòu)，然后為錯(cuò)誤的為其頒發(fā)證書(shū)。 HTTPS 服務(wù)器會(huì)通過(guò)頭部提...

  changfeng1050 2019-06-21 16:48 評(píng)論0 收藏0
• 

  Web 應(yīng)用安全性: 使用這些 HTTP 頭保護(hù) Web 應(yīng)用

  ...類(lèi)似于這樣的頁(yè)面。 你可能想知道用戶(hù)第一次訪(fǎng)問(wèn)你的網(wǎng)站時(shí)會(huì)發(fā)生什么，因?yàn)槭孪葲](méi)有定義 HSTS 策略：攻擊者可能會(huì)欺騙用戶(hù)訪(fǎng)問(wèn)你網(wǎng)站的 http:// 版本并在那里進(jìn)行攻擊，所以仍然存在問(wèn)題，因?yàn)?HSTS 是對(duì)首次使用機(jī)制的信...

  spademan 2019-08-26 13:35 評(píng)論0 收藏0
• 

  csrf實(shí)驗(yàn)

  CSRF攻擊實(shí)驗(yàn) CSRF攻擊涉及用戶(hù)受害者,受信任的網(wǎng)站和惡意網(wǎng)站。當(dāng)受害者與受信任的站點(diǎn)擁有一個(gè)活躍的會(huì)話(huà)同時(shí)，如果訪(fǎng)問(wèn)惡意網(wǎng)站，惡意網(wǎng)站會(huì)注入一個(gè)HTTP請(qǐng)求到為受信任的站點(diǎn)，從而破話(huà)用戶(hù)的信息。 CSRF 攻擊總是涉...

  myshell 2019-06-21 16:35 評(píng)論0 收藏0
• 

  企業(yè)應(yīng)用程序安全的新「守護(hù)神」

  ...——而且在這期間導(dǎo)致數(shù)據(jù)泄露最多的攻擊方法就是攻擊網(wǎng)站應(yīng)用程序。 表1：已確認(rèn)的數(shù)據(jù)泄露事件，2006-2014年 攻擊類(lèi)型 確認(rèn)數(shù)量 網(wǎng)絡(luò)應(yīng)用程序攻擊 458 （26%） 銷(xiāo)售點(diǎn)入侵 419（24%） 網(wǎng)絡(luò)間諜 290（17%） 犯罪軟...

  SimonMa 2019-06-21 16:27 評(píng)論0 收藏0
• 

  [譯]web權(quán)限驗(yàn)證方法說(shuō)明

  ...連接發(fā)送的，這也是潛在的可能暴露它們的地方。 如果網(wǎng)站使用的加密方法十分弱，或者被破解，那么用戶(hù)名和密碼將會(huì)馬上泄露。 用戶(hù)通過(guò)這種方式進(jìn)行驗(yàn)證時(shí)，并沒(méi)有登出的辦法 同樣，登陸超時(shí)也是沒(méi)有辦法做到的，你只...

  MonoLog 2019-08-22 10:58 評(píng)論0 收藏0
• 

  當(dāng)我們?cè)谡務(wù)撉岸思用軙r(shí)，我們?cè)谡勑┦裁?/a>

  ...這些資料進(jìn)行 Replay 登錄。更糟糕的是很多用戶(hù)在不同的網(wǎng)站使用相同的賬號(hào)信息，用戶(hù)的隱私蕩然無(wú)存。作為網(wǎng)站服務(wù)提供者，網(wǎng)站設(shè)計(jì)和開(kāi)發(fā)人員應(yīng)該為用戶(hù)提供相對(duì)安全的服務(wù)，這是一種責(zé)任也是一種情懷。 另外如果前端...

  wizChen 2019-08-01 15:36 評(píng)論0 收藏0
• 

  md5/sha1+salt and Bcrypt

  ...，希望各位可以指正。原文鏈接 中國(guó)最大的開(kāi)發(fā)者社區(qū)網(wǎng)站CSDN被破解了，數(shù)據(jù)庫(kù)泄露。在泄露的數(shù)據(jù)庫(kù)中，密碼是明文存儲(chǔ)的。人們?cè)谖⒉┥习l(fā)表關(guān)于密碼和安全相關(guān)的消息。我注意到一條消息，用MD5/SHA1+salt存儲(chǔ)密碼并不安...

  史占廣 2019-06-21 16:22 評(píng)論0 收藏0
• 

  md5/sha1+salt and Bcrypt

  ...，希望各位可以指正。原文鏈接 中國(guó)最大的開(kāi)發(fā)者社區(qū)網(wǎng)站CSDN被破解了，數(shù)據(jù)庫(kù)泄露。在泄露的數(shù)據(jù)庫(kù)中，密碼是明文存儲(chǔ)的。人們?cè)谖⒉┥习l(fā)表關(guān)于密碼和安全相關(guān)的消息。我注意到一條消息，用MD5/SHA1+salt存儲(chǔ)密碼并不安...

  yvonne 2019-06-27 10:35 評(píng)論0 收藏0