随笔分类 - (新) 安全
摘要:前言 之前讲过 CSRF。防 Cookie hacking 的。 也介绍过防 XSS 的 HtmlSanitizer。 今天再介绍 CSP。 参考 Content Security Policy 介绍 MDN – Content-Security-Policy CSP (Content Securi
阅读全文
摘要:前言 最近在研究 WAF, 顺便记入一下常见的 Web 攻击. SQL Injection SQL injection 是指程序员直接拿 client input, 拼接到 SQL query 中. 从而导致 client 有能力可以操作 SQL. 这个是年代久远的攻击了. 现在一般上都会使用 pa
阅读全文
摘要:前言 最近有客户想购买 Azure 的 Web Application Firewall (WAF), 来防 SQL Injection, XSS 攻击. 一开始我是觉得没什么必要, 毕竟什么年代了, 如果项目里还有 SQL Injection, XSS 的话, 那表示开发人员有问题了. 那你要防的
阅读全文
摘要:前言 这篇主要是说如何用 ASP.NET Core 读写系统里的证书 Store 和创建一个证书, 还有使用证书做加密, 解密, 签名. 主要参考: C#数字证书编程总结 (读写证书 Store) Encryption and signing credentials (创建证书) Git Bash
阅读全文
摘要:主要参考: WEB安全之-CSRF(跨站请求伪造) SameSite Cookie,防止 CSRF 攻击 跨站请求伪造与 Same-Site Cookie ASP.Net Core: X-Frame-Options strange behavior Preventing Cross-Site Req
阅读全文