AI 助理
文档备案控制台
文章 2022-05-26 来自:开发者社区

前端要了解的 Web 安全基础

可能引起前端安全的问题跨站脚本(Cross-Site Scripting,XSS):一种代码注入方式,为了与 CSS 区分被称作 XSS。早期常见于论坛,起因是网站没有对用户的输入进行严格的限制,使得攻击者可以将脚本上传到帖子让其他人浏览到有恶意脚本的页面,其注入方式很简单,包括但不限于 JavaScript/VBScript/CSS/Flash 等iframe 的滥用:iframe 中的内容是....

文章 2022-05-21 来自:开发者社区

你的 Java web 配置安全吗?

1糟糕透顶的明文配置 在web安全领域,黑客常常利用web应用的漏洞,将攻击脚本(webshell)上传至服务器,便可以获得一个与web应用具有相同权限的控制权限。但是很多公司直接给web应用ROOT权限,致使黑客在渗透突破的第一步就获取到了最高权限,这是一种非常不安全的做法,当然权限管理不是本文主题,这里就不做过多的讨论了。黑客在攻破一个web服务器后决不会就此罢手,会开展进行一步的渗透攻击,....

你的 Java web 配置安全吗?
文章 2022-05-07 来自:开发者社区

[记录] web安全之XSS攻击

1. 什么是XSS?CSRF(Cross-site request forgery),中文名称:跨站请求伪造。将恶意代码植入到提供给其他用户使用的页面中,简单的理解为一种javascript代码注入。2. XSS危害挂马盗取用户Cookie。DOS(拒绝服务)客户端浏览器。钓鱼攻击,高级的钓鱼技巧。删除目标文章、恶意篡改数据、嫁祸。劫持用户Web行为,甚至进一步渗透内网。爆发Web2.0蠕虫。蠕....

文章 2022-04-28 来自:开发者社区

Web安全开发规范手册V1.0(四)

一、背景团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。二、主机安全2.1 I/O操作说明检查项共享环境文件安全在多用户系统中创建文件时应指定合适的访问许可,以防止未授权的文件访问,共享目录中文件的读/写/可执行权限应该使用白名单机制,实现最小化授权。数据访问检查防止封装好的数....

Web安全开发规范手册V1.0(四)
文章 2022-04-28 来自:开发者社区

Web安全开发规范手册V1.0(三)

一、背景团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。二、数据安全2.1 敏感信息说明检查项敏感信息传输敏感信息传输时,禁止在GET请求参数中包含敏感信息,如用户名、密码、卡号等。建议为所有敏感信息采用TSL加密传输。客户端保存客户端保存敏感信息时,禁止其表单中的自动填充功能....

文章 2022-04-28 来自:开发者社区

Web安全开发规范手册V1.0(二)

一、背景团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。二、逻辑安全2.1 身份验证说明检查项概述所有对非公开的网页和资源的访问,必须在后端服务上执行标准的、通用的身份验证过程提交凭证用户凭据必须经过加密且以POST方式提交,建议用HTPS协议来加密通道、认证服务端错误提示安全....

文章 2022-04-28 来自:开发者社区

Web安全开发规范手册V1.0(一)

一、背景团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。二、编码安全2.1 输入验证说明检查项概述任何来自客户端的数据,如URL和参数、HTTP头部、 Javascript戓其他嵌入代码提交的信息,都属于不可信数据。在应用外部边界或内部每个组件或功能边界,都将其当做潜在的恶意输....

文章 2022-04-27 来自:开发者社区

WEB安全Permeate漏洞靶场挖掘实践

简介最近在逛码云时候发现permeat靶场系统,感觉界面和业务场景设计的还不错.所以过来分享一下.同时也是分享一下我平时挖掘漏洞的一些思路吧,这篇文章里虽然只简单介绍其中三种漏洞类型,但也是想是一个抛转引玉吧,给web安全新手提供一些挖掘思路.下载地址:GitHub地址: https://github.com/78778443/permeate国内地址: https://gitee.com/so....

WEB安全Permeate漏洞靶场挖掘实践
文章 2022-04-09 来自:开发者社区

阿里云服务器web环境搭建脚本以及开放安全组端口

为什么要写这个而不是用宝塔一键安装因为自己安装可以保证安装包来源于官网,因此没有了安全问题的顾虑。现在只实现如下的环境的自动化安装第一步安装nginx,首先我们要检查环境,诸如gcc、pcre等,检查是否缺失,缺失就安装然后从官网拉取源码包,解压缩,执行./configure --prefix=/usr/local/nginx,然后make,make install即可,最后启动,nginx环境....

阿里云服务器web环境搭建脚本以及开放安全组端口
文章 2022-02-16 来自:开发者社区

网站安全检测:推荐8款免费的 Web 安全测试工具

  随着 Web 应用越来越广泛,Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对 Web 应用安全的关注度也逐渐升温。下面向大家推荐8款非常有用的免费 Web 安全测试...

网站安全检测:推荐8款免费的 Web 安全测试工具

本页面内关键词为智能算法引擎基于机器学习所生成,如有任何问题,可在页面下方点击"联系我们"与我们沟通。

web更多安全相关

web您可能感兴趣

阿里UC研发效能

分享研发效能领域相关优秀实践,技术分享,产品信息

+关注