安全性

原创 2016年08月29日 08:51:39

今天到公司比较早,登陆火狐浏览器

发现提示了我信息可能有泄露风险,点进去看了下,以下是火狐提示的一些安全性信息。

1.在HTTP之上运行登录表单. 即使表单的action对象是HTTPS链接,用户的登录表单信息也会受到威胁,因为攻击者能够通过用户修改用户接收到的页面(例如,攻击者插入键盘记录脚本来盗取用户输入的密码.他们还能改变表单目的页从而将敏感信息传递到受他们控制的服务器).这是一个屏幕截图,显示的是网页控制器的安全面板中对这个问题的警告以及相关的警告信息:

这个不太懂,意思可能是不能够直接在打开的网址上输入用户名和密码等敏感信息,这样的话信息可能被截取,这类似于SQL绕过客户端直接攻击服务器,但是正常情况下是可以将服务器设置为禁止SQL语句输入和脚本来避免的,不知道火狐提示的这句话具体是指什么形式的安全性问题。

2.在表单的action链接中使用HTTP链接.在这种情况下,用户输入的任何信息都将以明文方式通过网络传递.这样,从密码离开用户的电脑到密码到达服务器过程中,用户的密码将清楚地展现在任何嗅探用户网络的人眼前

这个意思是在表单书写的时候,action直接写的是浏览器的网址,即例如:

<form id=example action="www.baidu.com" method="post"><label></label></form>

这样一种形式的form表单的action的书写格式,我们知道,必需的 action 属性规定当提交表单时,向何处发送表单数据。action表明了我们向何处发送表单数据,通常形式是.xx.jsp格式,这里提示我们如果输入的网址的话,则存在严重的安全性问题。具体为什么,现在还不太理解。

3..在网页iframe中递交登录表单(或是嵌入在HTTP frame中的HTTPS frame).即使最上层页面是HTTPS,但在HTTP iframe中包含密码域和在HTTP页面中包含密码域是没有区别的.攻击者同样能够修改这个页面以及偷取用户信息.

意思还是不能在frame中登陆

4.密码重用也是一个大问题.用户可能在不同的站点使用相同的密码(新闻网页,社交网络,电子邮箱及其银行).因此即使通过用户名及密码登陆你的网页对你来说不是很大的问题,对于重复使用相同用户名及密码来登陆他们银行账户的用户来说却是一个极大的威胁.网络攻击者正变得越来越聪明.他们在一个网站同时盗取用户名及密码然后在另一个可能能给他们带来金钱的网站上使用这些密码.

即我们经常说的"撞库",字面意思是撞击数据库,其实本意是指拿一个数据库中的信息去与验证另外一个数据库中是否有同样的账户,这也是一个最常见的攻击手段,因此我们常用的网站最好不要设置相同的账户名和密码。

同事已经来了,开始工作吧。

有句话说:专精一门,就能成为专家。

可是现在互联网纷繁复杂,什么都想学,与只学一门到底改选哪个?


oracle ebs应用产品安全性-安全性规则

定义: 通过为段指定包括下限值与上限值的值范围,可以定义安全性规则要素。安全性规则要素适用于包括在指定值范围内的所有段值。 可以将每个安全性规则要素标识为“包括”或“排除”,“包括”包括指定范围内...
  • caixingyun
  • caixingyun
  • 2014年09月02日 12:08
  • 1597

如何进行安全性测试?

1.功能验证   功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,具体方法可使用黑盒测试方法。...
  • Joy0709
  • Joy0709
  • 2014年12月11日 23:24
  • 1915

mysql技术内幕总结篇 (一)存储程序和视图的安全性

本文只是阅读mysql技术内部后的总结            4.5 存储程序和视图的安全性  存储程序是一个将在未来的某个时刻执行的对象 视图也是如此。意味着实际执行的这些语句的用户有可能不知...
  • u010282135
  • u010282135
  • 2016年11月04日 12:23
  • 967

如何提高MySQL的安全性!

MySQL数据库一贯以高性能、高可性和易用性著称,它已经成为世界上最流行的开源数据库。大量的个人、WEB开发者、大型公司等都在其网站、关键系统、软件包中广泛使用MySQL数据库。 通常,许多企业在部...
  • listen_for
  • listen_for
  • 2016年12月28日 11:59
  • 1046

Linux与Windows的安全性比较

安全问题对于IT管理员来说是需要长期关注的。主管们需要一套框架来对操作系统的安全性进行合理的评估,包括:基本安全、网络安全和协议,应用协议、发布与操作、确信度、可信计算、开放标准。在本文中,我们将按照...
  • zhenzhenjiajiazjzj
  • zhenzhenjiajiazjzj
  • 2015年04月02日 09:33
  • 1975

如何保障系统安全性

转自:http://www.cnblogs.com/yangyy753/archive/2011/11/17/2252774.html 怎么保证系统的安全性 1. MD5加密用户密码 用户密码采...
  • u013913482
  • u013913482
  • 2016年10月21日 19:53
  • 717

如何做好网站的安全性测试

安全性保护数据以防止不合法用户故意造成的破坏; 完整性保护数据以防止合法用户无意中造成的破坏; 安全性测试(security testing)是有关验证应用程序的安全服务和识别潜在注意...
  • kingmax54212008
  • kingmax54212008
  • 2013年08月29日 09:11
  • 12909

软件安全性测试

软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。在软件安全测试时,运用一组好的原则来避免不安...
  • u012928324
  • u012928324
  • 2017年07月08日 23:18
  • 197

软件架构设计之八:系统安全性和保密性

一、本章要点 1)加密和解密、身份认证(数字签名、密钥、口令)、访问控制、安全保密管理(防泄漏、数字水印)、安全协议(SSL、PGP、IPSec)、系统备份与恢复、防治病毒;信息系统安全法规与制度;计...
  • slowwind2007_lishu
  • slowwind2007_lishu
  • 2013年08月30日 21:15
  • 7117

web安全性考虑的几方面

随着存在安全隐患的Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安...
  • test_soy
  • test_soy
  • 2015年11月16日 16:17
  • 1373
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:安全性
举报原因:
原因补充:

(最多只允许输入30个字)