摘要:
例如 vue , 这种前后端分离的框架如何部署 1. 前后端一起部署, 前端打包成静态文件后, copy 到后端项目中,然后部署后端项目。 如果选择这种方式, 需要把dist文件夹里的内容, 一样的 copy 到 resource/static 文件夹下. 这种静态资源不会被 spring secu 阅读全文
posted @ 2020-02-25 20:18
神之一招
阅读(12757)
评论(0)
推荐(1)
摘要:
Web server 我们关注亮点: Web server 本身安全 Web server 是否提供了可使用的安全功能 Apache 安全 检查 apache 的 module 安装情况,根据最小权限原则,应该尽可能的减少不必要的 Module, 对于使用的 Module, 应检查其对应版本是否存在 阅读全文
posted @ 2020-02-25 16:18
神之一招
阅读(233)
评论(0)
推荐(0)
摘要:
现在 Web 都是框架, 而且更新飞快. MVC 层: 在 View 层可以解决 XSS 问题, XSS 是HTML 页面在服务器渲染时, 注入了恶意的 HTML 代码导致的. CSRF 防御方案: 在 session 中绑定 token, 如果不能保存到服务器端的 session 中,可以替代为保 阅读全文
posted @ 2020-02-25 16:10
神之一招
阅读(212)
评论(0)
推荐(0)
摘要:
权限的问题,都可以归为 访问控制。 在正常情况下,管理后台的页面应该只有管理员才能够访问,但这些系统未对用户访问权限进行控制,导致任意用户只要构造出了正确的 URL, 就能够访问到这些页面。所以,只是把这些页面“藏起来”是不行的,攻击者惯用伎俩是使用一部包含了很多后台路径的字典,把这些“藏”起来的页 阅读全文
posted @ 2020-02-25 15:36
神之一招
阅读(433)
评论(0)
推荐(0)
摘要:
将明文密码经过哈希后(MD5 或者 SHA-1) 再保存到数据库中, 是目前比较普遍的做法. 登录时验证密码的过程仅仅是验证用户提交的"密码"的哈希值,与保存在数据库中“密码”的哈希值是否一致。但是,目前黑客们广泛使用一种破解 MD5 后密码的方法:彩虹表.(即收集尽可能多的明文密码和明文对应的MD 阅读全文
posted @ 2020-02-25 12:01
神之一招
阅读(301)
评论(0)
推荐(0)
摘要:
文件上传漏洞,指用户上传了一个可执行脚本, 并通过此脚本获得了服务端命令的能力。 需要满足条件: 上传的文件能够被 Web 容器解释执行,所以文件上传后所在的目录是 Web 容器所覆盖到的路径 用户能够通过Web访问到这个文件, 如果文件上传了,但是用户无法通过Web访问,或者无法使得Web容器解释 阅读全文
posted @ 2020-02-25 11:13
神之一招
阅读(282)
评论(0)
推荐(0)
摘要:
注入攻击的本质是: 把用户输入的数据当做代码执行. 这有两个条件: 用户能够控制输入 原本程序要执行的代码,拼接了用户输入数据 例如: var sql = "select * from OrdersTable where ShipCity = '"+ShipCity+"'; 如果用户输入了city名 阅读全文
posted @ 2020-02-25 10:58
神之一招
阅读(352)
评论(0)
推荐(0)
摘要:
ARP (Address Resolution Protocal), 当被攻击服务器向网络发送网关IP地址的MAC请求(ARP请求)时, 攻击者会抢先返回伪造的ARP应答,来冒充网关,从而截获所有与服务器的通信内容,ARP攻击有一个限制条件,就是要和被攻击的服务器在同一个物理网段内. 钓鱼攻击: 创 阅读全文
posted @ 2020-02-25 09:51
神之一招
阅读(251)
评论(0)
推荐(0)
浙公网安备 33010602011771号