原创 Spring Security:核心服務
1. The AuthenticationManager, ProviderManager and AuthenticationProvider The AuthenticationManager is just an interface
2020-06-19 08:40:49
9
原创 防火牆類型總結
防火牆是一種網絡安全系統,它根據預先確定的安全規則監視和控制進出網絡的流量。防火牆通常在可信的內部網絡和不可信的外部網絡之間建立一個屏障 防火牆通常分爲網絡防火牆或基於主機的防火牆。網絡防火牆過濾兩個或多個網絡之間的流量,並在網絡硬件上運
2020-05-31 00:38:54
3
原创 什麼是殭屍網絡?
殭屍網絡已成爲當今安全系統面臨的最大威脅之一。它們在網絡罪犯中越來越受歡迎,原因是它們能夠滲透幾乎所有聯網設備,從DVR播放器到企業服務器。 殭屍網絡也越來越多地成爲網絡安全文化討論的一部分。Facebook的虛假廣告爭議和Twitter
2020-05-31 00:38:54
原创 HTML 5 安全
新標籤的XSS HTML5 定義了很多新的標籤、事件,這有可能帶來新的XSS攻擊。 一些XSS Filter 如果建立了一個黑名單的話,則可能就不會覆蓋到HTML5新增的標籤和功能,從而避免發生XSS。 筆者曾經在百度空間做過一次測試,使
2020-05-31 00:38:54
原创 Web框架安全
模板引擎與XSS防禦 XSS攻擊是在用戶的瀏覽器上執行的,其形成過程則是在服務器端頁面渲染時,注入了惡意的HTML代碼導致的。從MVC架構來說,是發生在View層,因此使用“輸出編碼”的防禦方法更加合理,這意味着需要針對不同上下文的XSS
2020-02-24 06:40:40
原创 Spring Security:架構及其核心類
這篇文章主要是閱讀Spring Security官方文檔後,關於Spring Security中的身份驗證和訪問控制原理的摘要。 1 Spring Security核心組件 1.1 SecurityContextHolder, Sec
2020-02-24 06:40:40
原创 Web Server配置安全
Apache安全 Web Server的安全我們關注兩點:一是Web Server本身是否安全;二是Web Server是否提供了可使用的的功能。縱觀Apache的漏洞史,它曾經出現過多次高危漏洞,但這些高危漏洞大部分是由Apache的M
2020-02-24 06:40:40
原创 跨站點請求僞造(CSRF)
CSRF的全名是Cross Site Request Forgery,翻譯成中文就是跨站點請求僞造。 1)CSRF 簡介 什麼是CSRF呢?我們先看一個例子。 在介紹XSS Payload時那個“刪除搜狐博客”的例子,登錄Sohu博客
2019-05-12 11:18:58
原创 XSS的防禦
XSS的防禦是複雜的。流行的瀏覽器都內置了一些對抗XSS的措施,比如Firefox的CSP,Noscript擴展,IE8內置的XSS Filter等。而對於網站來說,也應該尋找優秀的解決方案,保護用戶不被XSS攻擊。 1)HttpOn
2019-04-28 02:03:27
原创 瀏覽器Cookie策略
瀏覽器所持有的Cookie分爲兩種:一種是"Session Cookie", 又稱作“臨時Cookie”;另一種是“Third-party Cookie”,也稱爲“本地Cookie”。 兩者的區別在於,Third-party Cookie
2019-04-28 02:03:27
原创 Docker安全
1) 容器內核 Docker 容器中沒有沒有包含內核,Docker 容器共享宿主機內核,一旦宿主內核存在可以橫向越權或者提權漏洞,那麼儘管Docker使用普通用戶執行,一旦容器被入侵,攻擊者還是可以利用內核漏洞逃逸到宿主,做更多事情。
2019-04-23 21:19:41
原创 跨站腳本攻擊(XSS)
跨站腳本攻擊,英文全稱是Cross Site Script。XSS攻擊,通常指黑客通過”HTML注入“篡改了網頁,插入了惡意的腳本,從而在用戶瀏覽網頁時,控制用戶瀏覽器的一種攻擊。在一開始,這種攻擊的演示案例是跨域的,所以叫做”跨站腳本“
2019-04-21 02:49:03
原创 十種進程注入技術介紹
前言 進程注入是一種廣泛使用的躲避檢測的技術,通常用於惡意軟件或者無文件技術。其需要在另一個進程的地址空間內運行特製代碼,進程注入改善了不可見性,同時一些技術也實現了持久性。儘管目前有許多進程注入技術,但在這篇文章中,我將會介紹十種在野發
2019-03-01 00:17:22
原创 web 應用常見安全漏洞一覽
1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬於後端的範疇,但前端也可做體驗上的優化。 原因 當使用外部不可信任的數據作爲參數進行數據庫的增、刪、
2019-03-01 00:17:22
原创 SVN/GIT源代碼泄露
造成SVN源代碼漏洞的主要原因是管理員操作不規範。在使用SVN管理本地代碼過程中,會自動生成一個名爲.svn的隱藏文件夾,其中包含重要的源代碼信息。但一些網站管理員在發佈代碼時,不願意使用“導出”功能,而是直接複製代碼文件夾到WEB服務器
2019-02-27 13:21:01