应用安全
文章平均质量分 89
人工智
个人记录博客,不推荐阅读
展开
-
「系统安全」浅谈RASP技术攻防
可以看到这个sql语句中已经将单引号进行了转义,导致无法进行,但是WAF大部分是基于规则去拦截的(也有小部分WAF是带参数净化功能的),也就是说,如果你的请求参数在他的规则中存在,那么waf都会对其进行拦截(上面只是一个例子,当然waf规则肯定不会这么简单,大家不要钻牛角尖。它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。转载 2023-03-05 21:13:14 · 1109 阅读 · 0 评论 -
【应用安全之日志注入】log4j防止日志注入
日志注入转载 2022-12-19 22:22:30 · 1362 阅读 · 0 评论 -
【应用安全之XSS一】XSS攻击测试以及防御
跨站脚本攻击跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。攻击实例下面为一个Input标签:<input type="text" value="value"></input>当用输入值原创 2022-02-19 18:52:44 · 6327 阅读 · 0 评论 -
【安全系列之加密算法】常用安全的加密算法
最近在做安全相关的工作,那么我们在什么情况下应该使用什么样的加密算法? 什么样的加密算法是安全的呢? 安全的基础上,性能如何呢? 这里记录一下1、首先,为什么要加密?数据存储和传输存在的风险:...原创 2021-08-08 17:30:57 · 6337 阅读 · 0 评论 -
【安全系类之设计】应用安全相关
最近在做代码安全加固相关的工作,在这里顺便做一个总结1、系统安全设计1.1 数据流模型建模数据流图简介:https://www.jianshu.com/p/d3cb07d37b86绘图工具(亿图蛮好用它):https://www.edrawsoft.cn/edrawmax/flowchart-lp.html?channel=baidu1.2 STRIDE威胁建模威胁建模是一个非常有用的工具,它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展.原创 2021-08-01 17:35:01 · 501 阅读 · 0 评论