安全漏洞相关

最新推荐文章于 2024-07-03 12:02:42 发布
最新推荐文章于 2024-07-03 12:02:42 发布
阅读量91 收藏
点赞数
分类专栏: 有用的知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36712606/article/details/118406763
版权

 https://www.cnblogs.com/zs-note/p/11122483.html

xss跨站脚本攻击


1 对数据进行HTML编码,使脚本代码变成普通字符串
2 此外还有URL,json编码
3 设置http头

iframe攻击


1 设置安全属性sandbox
    如设置sandbox为空,将严格限制iframe的权限,会跨域

点击劫持:将iframe页面设置透明置于正常页面上方

错误的内容响应
攻击者将js脚本当做图片上传,而后被浏览器误读
可以设置X-Content-Type-Options这个HTTP Header明确禁止浏览器去推断响应类型。

第三方依赖包漏洞

使用工具扫描

使用SSL Stripping使https降级成http

在http header预加载,强制使用https

Strict-Transport-Security: max-age=<seconds>; includeSubDomains; preload

本地存储数据泄露

1 加密储存

缺乏静态资源完整性校验

为提高访问速度,将静态资源放在CDN上,因此产生被劫持污染文件的风险

使用SRI功能,在资源文件中加入SRI值,浏览器处理时校验intefrity属性是否一致

cookiesession
状态浏览器端服务器端
存储以文本方式保存字符串类型支持任何类型的对象
大小单个cookie不能超过4kb无限制
安全性cookie欺骗,截获更高,存在加密的sessionID校验,存在cookie中
应用判断是否登录,存token保存登录信息,userid等

sessionStoragelocalStorage
生命周期临时保存,关闭窗口即消失永久保存
大小5M5M
位置客户端客户端
类型字符串字符串

夕雾不闻钟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞修复之 SRI
波子汽水
11-02 5532
这几天,GitHub 宣布 启用 SRI 策略 ,用来减少由「托管在 CDN 的资源被篡改」而引入的 XSS 等风险。很多小伙伴对此表示关注。那么 SRI 究竟是什么,如何使用 SRI,它的适用场景和局限性是什么?本文逐一解答。SRI 是什么? SRI 是 Subresource Integrity 的缩写,一般按照字面意义翻译为:子资源完整性(草案),它也是由 Web 应用安全工作组( Web
前端安全汇总(持续更新)
Innocence_0的博客
03-12 688
子资源完整性(SRI)是允许浏览器检查其获得的资源(例如从CDN获得的)是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。通过给link标签或者script标签增加integrity属性即可开启SRI功能.integrity值分成两个部分,第一部分指定哈希值的生成算法(sha256sha384及sha512),第二部分是经过base64编码的实际哈希值,两者之间通过一个短横()分割。integrity。
使用AWVS扫描某web站点
somnus981的博客
06-20 314
使用AWVS新增加一个目标,开始对该web站点进行扫描:扫描完成:描述:服务器通过TLS 1.1协议加密,不符合支付卡行业(PCI)数据安全标准(DSS)。PCI DSS建议使用TLS 1.2或更高版本。自2018年6月30日起,PCI要求禁用SSL/早期TLS并实施更安全的加密协议(TLS1.1或更高版本,推荐TLS 1.2)。发现:发现TLS1.1已启用攻击细节:SSL服务器(端口:443)使用TLSv1.1加密流量。漏洞影响:攻击者可能利用此问题进行中间人攻击,并解密受影响服务与客户端之间的通信。如何
appscan前端安全漏洞修复————持续记录
wsx981049288的博客
11-10 437
安全漏洞修复
使用 SRI 解决 CDN 劫持
Galaxy_0的博客
02-20 444
使用 SRI 解决 CDN 劫持
网络安全漏洞
最新发布
weixin_48579910的博客
07-03 1104
网络安全漏洞管理是保护信息系统和网络安全的重要环节。通过系统化的漏洞发现、评估、修复和验证流程,结合先进的漏洞管理工具,组织可以有效地识别和消除安全漏洞,提升整体的网络安全水平。持续改进漏洞管理策略和流程,是应对不断变化的安全威胁和风险的关键。网络安全漏洞来源多种多样,涉及软件、硬件、网络协议、配置错误、人为因素等多个方面。了解这些来源有助于更全面地识别和管理网络安全风险。网络安全漏洞的来源广泛,涵盖软件、硬件、网络协议、配置、人为因素、供应链、零日漏洞、环境因素及策略与管理等多个方面。
浅谈安全漏洞及工具
ubisectech的博客
05-05 910
一,什么是安全漏洞 安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。举例来说,比如最近一次的Log4j 漏洞事件,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90% 以上基于 java 开发的应用平台都会受到影响。 二,安全漏洞如何产生 安全漏洞往往会给公司带来极大的麻烦。攻击者会利用它们去攻击普通用户、管理员以及连接和使用此类...
安全漏洞整改报告.docx
11-13
### 安全漏洞整改报告知识点解析 #### 一、背景介绍 本报告是对某公司收到的一份关于其APP存在的SQL未授权访问漏洞的情况通报后,所采取的一系列整改措施的总结。该通报指出该公司APP存在安全漏洞,可能导致敏感...
网络安全漏洞扫描服务方案.docx
06-29
网络安全漏洞扫描服务方案 网络安全是当今数字化社会的关键要素,而安全漏洞扫描服务是保障网络环境安全的重要手段。本文将深入探讨安全漏洞的概念、0-day攻击的威胁、漏洞扫描服务的发展趋势以及安全漏洞评估的两...
【夕雾】扫码点餐小程序3.2.2 前端 后端 解密开源版.rar
11-06
【夕雾】扫码点餐小程序3.2.2 前端 后端 解密开源版【夕雾】扫码点餐小程序3.2.2 前端 后端 解密开源版 可以同时多人一起点餐
点餐小程序前端代码版.rar
12-03
本人的第一个上线小程序,使用微信小程序框架开发,后台不影响前端代码,自己配置好API便可以实际操作。
ThinkPHP5.0.19微信订餐点餐完整小程序独立商用版
10-20
可以学习一下thinkphp 5.0 版本的小程序开发技巧!这是在某宝买的,大家学习下下!
免费开源的会场弹幕系统,适用于音乐会、大小晚会、联谊班会。提供多种前端、后端、控制面板实现.zip
06-24
免费开源的会场弹幕系统,适用于音乐会、大小晚会、联谊班会。提供多种前端、后端、控制面板实现.zip
微信、公众号扫码点餐源码
10-26
扫码点餐源代码.zip 公众号扫码点餐功能(附代码) 最近在做一个需求,也是公众号常用的功能-《扫码点餐》。 在店铺桌子贴一张固定二维码,用户扫码后进入公众号窗口①,推送模板消息(点餐消息)给用户②。 ① 用户已关注公众号,则到关注页面;已关注则直接进入公众号窗口。 ② 使用openId和模板消息id推送信息给用户。
计算机网络安全漏洞及防范措施
07-05
在Internet网络快速发展以及越来越多元化的服务之下,计算机网络...文章分析了计算机网络中的安全漏洞,以Web网站安全为例,讨论了浏览器应用程序的安全研究现状,研究了安全漏洞所造成的主要入侵行为及相应的防范措施。
安全漏洞相关概念(CVE,CNA, CWE,CVSS,OWASP)
oscar999的专栏
10-04 3709
* CVE给发现的漏洞编号 (事后补救), CWE 旨在通过对所有已识别的缺陷和暴露进行分类(事前预防) * CVSS 用来给发现的漏洞一个严重等级的评分 * OWASP 和 CWE 每年会发布一个排名靠前的漏洞的列表。
基于AndroidStudio 二维码自助点餐系统
04-21
基于安卓平台开发的自助点餐系统,一键点餐,一键付款,随时随地呼叫服务员,一个手机解决用餐问题。
模糊测试:挖掘安全漏洞的利器
"Fuzzing_模糊测试--强制性安全漏洞发掘" 模糊测试,或称Fuzzing,是一种黑盒测试技术,主要用于发现软件中的安全漏洞。...它鼓励并教育所有相关人员重视安全性,将模糊测试作为一种有效且强制性的安全漏洞发掘手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值