![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全
勤径苦舟
书山有路勤为径,学海无涯苦作舟。
展开
-
忘记密码漏洞+上传文件漏洞
忘记密码漏洞使用抓包工具分析Http请求,在忘记密码找回时,需要发送一套短信验证码,如果验证码数字比较短的话(4位),使用暴力破解方式攻击破。防御手段:1忘记密码验证码最好在6-8位,数字加字母2一旦频繁调用接口验证时,应该使用图形验证码拦截,防止机器模拟暴力破解。3 使用黑名单和白名单机制,将频率调用接口验证的ip封死4 限流上传文件漏洞通过上传木马文件,删除或者...原创 2019-07-09 07:58:50 · 375 阅读 · 0 评论 -
API安全接口安全设计
如何保证外网开放接口的安全性。使用加签名方式,防止数据篡改 信息加密与密钥管理 搭建OAuth2.0认证授权 使用令牌方式 搭建网关实现黑名单和白名单一令牌方式搭建搭建API开放平台方案设计:1第三方机构申请一个appId,通过appId去获取accessToken,每次请求获取accessToken都要把老的accessToken删掉2第三方机构请求数据需要加上a...原创 2019-07-13 22:07:58 · 18568 阅读 · 1 评论 -
xss攻击+SQL注入攻击+Http请求防盗链+CSRF攻击+API接口幂等性设计
1xss攻击XSS攻击使用Javascript脚本注入进行攻击打个比方说,写评论的时候,内容是<script>window.location.href='http://www.1111.com';</script>那么每次刷新评论列表的时候就跳转到http://www.1111.com页面如何防御XSS攻击1将脚本特殊字符,转换成html源代码进行...原创 2019-07-07 14:29:32 · 936 阅读 · 0 评论