RickyShilx

摘要： 常见 Web Server：Apache Httpd、Nginx、LightHttp。Web Server 安全：自身是否安全 + 是否提供了可用的安全功能。 Apache 安全 Apache 的漏洞大多是 Apache 的 module 造成，其核心高危漏洞几乎没有。默认启动的 Module 出现 阅读全文

摘要： 文件包含漏洞 文件包含漏洞可能出现在 JSP、PHP、ASP 等语言中，常90见的导致文件包含的函数： PHP：include()，include_once()，require()，require_once()，fopen()，readfile()，... JSP/Servlet：ava.io.Fi 阅读全文

摘要： DOS：Denial Of Service DDOS：Distributed Denial Of Service（利用僵尸网络——由“肉鸡”组成，发起 DoS 攻击） 常见的 DDOS 攻击 SYN flood（经典，利用了 TCP 协议“三次握手”设计中的缺陷），UDP flood，ICMP fl 阅读全文

摘要： 文案设计技巧 把 “No” 变成 “Yes” 的 7个突破口 ① 投其所好 ✘ “这种衬衫只剩这一件了。” ✔️ “这种衬衫卖的特别快，这是最后一件了。” ② 儆其所恶 ✘ “请勿触碰展品。” ✔️ “涂有药品，请勿触碰。” ③ 选择的自由 ✘ “要不要来份甜点？” ✔️ “芒果布丁和抹茶冰激凌，您 阅读全文

摘要： Web 应用开发框架，统一设计，便于安全防控。 常用 Web 框架：MVC —— Model（数据处理）-View（与用户交互）-Controller（控制应用逻辑），例如 Spring 不同层级对应的 Web 安全 View 视图层：XSS Controller 控制层：CSRF、访问控制、认证、 阅读全文

摘要： 使用安全可靠的加密算法和随机数生成算法 密钥管理 在密码学里有个基本原则：密码系统的安全性应该依赖于密钥的复杂性，而不是算法的保密性。 在安全领域里，选择一个足够安全的加密算法不是困难的事，难的是密钥管理。在密钥管理中常见的错误是，将密钥硬编码在代码里。硬编码的密钥容易泄露： ① 代码被广泛传播（开 阅读全文

摘要： OWASP 认证 密码维度 单因素认证、双因素认证、多因素认证（密码、手机动态口令、数字证书、指纹等各种凭证）。 密码强度 长度：普通应用6位以上；重要应用8位以上，考虑双因素； 复杂度：密码区分大小写；密码为大写字母、小写字母、数字、特殊符号中两种以上的组合；不要有（语义上）连续性的字符，比如12 阅读全文

摘要： 文件上传漏洞 用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。 文件上传可能存在的安全问题： （1）上传文件为 Web 脚本，服务器的 Web 容器解释并执行了该脚本，导致代码执行——webshell； （2）上传文件是 Flash 的策略文件 crossdomain. 阅读全文

摘要： 数据与代码未分离 用户能控制数据的输入，代码与数据拼接 SQL 注入 1. 试探 SQL 注入漏洞是否存在——简单盲注 常规 URL：http://www.example.com/test.php?id=2 试探 URL 1：http://www.example.com/test.php?id=2 阅读全文

摘要： HTML 5 中定义了新标签、新事件，这些改变可能超越了当前的防御方式。 HTML 5 与安全相关的新特性 iframe 的 sandbox 属性 使用 sandbox 属性后，<iframe> 标签加载的内容将被视作一个独立的“源”，其中的脚本将被禁止执行，表单被禁止提交，插件被禁止加载，指向其他 阅读全文