随笔分类 - web security
摘要:浏览器同源策略 host (域名或IP地址, 如果是IP地址则可以看做是一个根域名), 子域名, 端口, 协议 (http, https) 比如,mail.example.com和calendar.example.com是example.com的两个子域,子域名也被包含在同源策略中. 在浏览器中 <
阅读全文
摘要:Web server 我们关注亮点: Web server 本身安全 Web server 是否提供了可使用的安全功能 Apache 安全 检查 apache 的 module 安装情况,根据最小权限原则,应该尽可能的减少不必要的 Module, 对于使用的 Module, 应检查其对应版本是否存在
阅读全文
摘要:现在 Web 都是框架, 而且更新飞快. MVC 层: 在 View 层可以解决 XSS 问题, XSS 是HTML 页面在服务器渲染时, 注入了恶意的 HTML 代码导致的. CSRF 防御方案: 在 session 中绑定 token, 如果不能保存到服务器端的 session 中,可以替代为保
阅读全文
摘要:权限的问题,都可以归为 访问控制。 在正常情况下,管理后台的页面应该只有管理员才能够访问,但这些系统未对用户访问权限进行控制,导致任意用户只要构造出了正确的 URL, 就能够访问到这些页面。所以,只是把这些页面“藏起来”是不行的,攻击者惯用伎俩是使用一部包含了很多后台路径的字典,把这些“藏”起来的页
阅读全文
摘要:将明文密码经过哈希后(MD5 或者 SHA-1) 再保存到数据库中, 是目前比较普遍的做法. 登录时验证密码的过程仅仅是验证用户提交的"密码"的哈希值,与保存在数据库中“密码”的哈希值是否一致。但是,目前黑客们广泛使用一种破解 MD5 后密码的方法:彩虹表.(即收集尽可能多的明文密码和明文对应的MD
阅读全文
摘要:文件上传漏洞,指用户上传了一个可执行脚本, 并通过此脚本获得了服务端命令的能力。 需要满足条件: 上传的文件能够被 Web 容器解释执行,所以文件上传后所在的目录是 Web 容器所覆盖到的路径 用户能够通过Web访问到这个文件, 如果文件上传了,但是用户无法通过Web访问,或者无法使得Web容器解释
阅读全文
摘要:注入攻击的本质是: 把用户输入的数据当做代码执行. 这有两个条件: 用户能够控制输入 原本程序要执行的代码,拼接了用户输入数据 例如: var sql = "select * from OrdersTable where ShipCity = '"+ShipCity+"'; 如果用户输入了city名
阅读全文
摘要:ARP (Address Resolution Protocal), 当被攻击服务器向网络发送网关IP地址的MAC请求(ARP请求)时, 攻击者会抢先返回伪造的ARP应答,来冒充网关,从而截获所有与服务器的通信内容,ARP攻击有一个限制条件,就是要和被攻击的服务器在同一个物理网段内. 钓鱼攻击: 创
阅读全文