安全
wxl_winston
做想做的事,过想过的生活,既可以朝九晚五,也可以浪迹天涯
展开
-
系统登录页面短信验证码方式登录实现
近期公司有个需求,要求使用短信验证码登录,取代原来的图片验证码方式,在此记录一下我的实现方法,希望对你有所帮助公司需求:目前只有账号和验证码方式验证登录,按照公司网络安全统一部署,要求所有公网系统都需要动态双因子认证 改造方案:此ULR增加登录短信验证,取代验证码验证对于此需求,思路就是点了"发送验证码"按钮后,前台开始倒计时,后台随机生成一个6位数的验证码 记录一下当前的时间戳(用来校验验证码是否失效,根据业务情况的不同设置不同的失效时间,我这里是5分钟内有效),将发送的验证码和时间戳返回前原创 2020-07-13 16:04:42 · 6464 阅读 · 0 评论 -
安全漏洞之host头攻击漏洞
安全漏洞之host头攻击漏洞漏洞描述渗透测试人员发现,抓包修改host头,在返回包中的base标签中的值会随host值改变,说明存在host头攻击漏洞。漏洞建议建议使用SERVER_NAME而不是hostheader。脆弱性评价: 严重程度 高 ...原创 2020-03-27 20:05:22 · 5001 阅读 · 0 评论 -
安全漏洞之XSS跨站脚本执行漏洞
XSS跨站脚本执行漏洞漏洞描述渗透测试人员发现,在实时营销策略管理中的策略编码和策略名称中填入<imgsrc=xonerror='alert(document.cookie)';>发现会显示cookie,抓包发现EVENT_ID,EVENT_NAME两个字段存在xss漏洞。漏洞建议对所有用户提交内容进行可靠的输入验证,包括对...原创 2020-03-27 19:55:05 · 763 阅读 · 0 评论 -
3DES实现前台JavaScript加密,后台Java解密
项目漏扫要求涉及到密码传输的页面对密码进行加密,下面是需求详情:1.需求:客户、客户经理、管理员登录页面的密码需要加密传输2.风险分析:程序在与服务器通信的过程中如果未做加密处理,数据可能被第三方截获,导致泄露隐私信息,服务器沦陷等风险3.加密方式:3DES,AES,RSA,MD5其中之一即可其中3DES和AES是对称加密算法,RSA是非对称加密算法,MD5是Hash加密算法,我选...原创 2019-12-14 14:22:19 · 315 阅读 · 0 评论