随笔分类 - web安全
摘要:今天无意间看到原来 SpringSecurity 自带了 CSRF 防御处理,所以记录下,不得不说 SpringSecurity 功能还是挺强大的,蛮多业务场景都提供了支持。 CSRF 就是跨域请求伪造,英文全称是 Cross Site Request Forgery。这是一种非常常见的 Web 攻
阅读全文
摘要:一、问题背景 一天在日志上看到很多这种报错: nested exception is java.lang.NumberFormatException: For input string: "434199'and(select*from(select+sleep(0))a/**/union/**/se
阅读全文
摘要:一、CSRF 攻击 1、CSRF漏洞的发生 相比 XSS,CSRF 的名气似乎并不是那么大,很多人都认为CSRF“不那么有破坏性”。真的是这样吗?接下来有请小明出场 —— 小明的悲惨遭遇: 这一天,小明同学百无聊赖地刷着Gmail邮件。大部分都是没营养的通知、验证码、聊天记录之类。但有一封邮件引起了
阅读全文
摘要:一、X-Frame-Options 这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UI redressing 补偿样式攻击。IE8和firefox 18以后的版本都开始支持ALLOW-FROM。chrome和safari都不支持ALLOW-FROM,但是WebKi
阅读全文
摘要:一、XSS 攻击的介绍 在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确: 1、XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。 2、所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的
阅读全文
摘要:今天访问网站一篇文章,弹出一个alert(),我就意识到网站被人拿来测试XSS攻击了。 一、XSS攻击原理 XSS到底是如何攻击、我们又应该如何防范的呢? XSS攻击主要是针对表单的input文本框发起的,比如有一个文本框输入: <script>alert("xss");</script> <img
阅读全文
摘要:一、sequlize.query防止sql注入 在nodejs中使用sequlize库来查询mysql数据库,提供了常用的方法有两种: // 1、直接查询sql语句 sequelize.query();// 需要做sql防注入 // 2、通过接口 Project.findAll(); //在实现上就
阅读全文
摘要:一、安全世界观 在互联网发展之初,IE 浏览器垄断的时期,大家上网的目的都很单纯,主要通过浏览器分享信息,获取新闻。但随着互联网的不断发展发展,一个网页能做的事情越来越多,除了看新闻,我们还可以看视频、玩游戏、购物、聊天等,这些功能都大大丰富了我们的生活。 随着网页功能的逐渐增多,就开始出现了一些黑
阅读全文
摘要:我们知道,网页里的a标签默认在当前窗口跳转链接地址,如果需要在新窗口打开,需要给 a 标签添加一个target="_blank"属性。顺便提下一个有意思的现象,很早之前我就发现,国外网站倾向于在当前页跳转,而国内网站喜欢打开新窗口。不信你们可以去验证下。我不知道这是交互设计上的文化差异,还是技术上的
阅读全文
摘要:一、HTTP 报头追踪漏洞 HTTP/1.1(RFC2616)规范定义了 HTTP TRACE 方法,主要是用于客户端通过向 Web 服务器提交 TRACE 请求来进行测试或获得诊断信息。当 Web 服务器启用 TRACE 时,提交的请求头会在服务器响应的内容(Body)中完整的返回,其中 HTTP
阅读全文
摘要:跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。内容安全策略(CSP),其核心思想十分简
阅读全文
摘要:一、XSS - 跨站脚本攻击 首先说下最常见的 XSS 漏洞,XSS (Cross Site Script),跨站脚本攻击,因为缩写和 CSS (Cascading Style Sheets) 重叠,所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户
阅读全文
