Web 安全 之 OpenSSL
摘要:什么是OpenSSL协议? SSL(Secure SocketLayer,安全套接层)协议是使用最为普遍网站加密技术,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。简单的说,就是加密传输的数据,避免被截取监听等。
阅读全文
posted @
2018-01-15 16:49
Now,DayBreak
阅读(709)
推荐(0) 编辑
Web安全 之 X-Frame-Options响应头配置
摘要:最近项目处于测试阶段,在安全报告中存在" X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图: X-Frame-Options: 值有三个: (1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIG
阅读全文
posted @
2017-07-28 10:00
Now,DayBreak
阅读(15614)
推荐(0) 编辑
网站跨站点脚本,Sql注入等攻击的处理
摘要:从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可。
阅读全文
posted @
2016-09-09 13:18
Now,DayBreak
阅读(566)
推荐(0) 编辑
绕过Web授权和认证之篡改HTTP请求
摘要:一、什么是HTTP请求 超文本传输协议(HTTP)提供了多种请求方法来与web服务器沟通。当然,大多数方法的初衷是帮助开发者在开发或调试过程中部署和测试HTTP应用。如果服务器配置不当,这些请求方法可能被用于一些不法用途。比如:跨站跟踪(XST)是一种高危漏洞,这种跨站脚本能利用HTTP TRACE
阅读全文
posted @
2016-09-08 13:12
Now,DayBreak
阅读(10849)
推荐(0) 编辑
跨站点脚本编制-XSS 描述及解决方法
摘要:跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获得更愉快的体验。动态内容是由某些服务器进程生成的内容,它可以根
阅读全文
posted @
2016-09-08 11:27
Now,DayBreak
阅读(7590)
推荐(0) 编辑
CSRF(跨站请求伪造攻击)漏洞详解
摘要:Cross-Site Request Forgery(CSRF),中文一般译作跨站点 请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。 通常情况下,有三种方法被广泛用来防御CSR
阅读全文
posted @
2016-09-08 11:18
Now,DayBreak
阅读(12996)
推荐(0) 编辑
HTTP.SYS 远程执行代码漏洞分析(MS15-034 )
摘要:在2015年4月安全补丁日,微软发布了11项安全更新,共修复了包括Microsoft Windows、Internet Explorer、Office、.NET Framework、Server软件、Office Services和Web Apps中存在的26个安全漏洞。其中就修复了HTTP.sys
阅读全文
posted @
2016-09-08 10:27
Now,DayBreak
阅读(4806)
推荐(0) 编辑
Web安全 之 SQL注入
摘要:随着B/S模式应用开发的发展,使用这种模式编写的应用程序也越来越多。相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQ
阅读全文
posted @
2015-04-24 15:02
Now,DayBreak
阅读(858)
推荐(0) 编辑
