- 综合排序
- 最热优先
- 最新优先
- 来自专栏KSUN分享
【云安全最佳实践】10 种常见的 Web 安全问题
对于很多公司来说,直到发生安全漏洞后,网络安全最佳实践才成为优先事项.Web开发安全问题,其实对很多程序员来说都是很模糊的.应对 Web 安全威胁的有效方法必须是主动的.下面说一下10种常见且重要的Web 安全陷阱的认识和解决方法.身份验证(Authentication)和身份授权(Authorization)程序员经常对身份授权和身份验证之间的区别表示困惑.对这两个术语使用会增加它们的"朦胧感".区别: 换句话说,身份验证是知道实体是谁,而授权是给定实体可以做什么.考虑到这一点,就探讨 10 种常见的互联网漏洞问题. 因为我们需要处理所有输入,除非它毫无疑问是可信的.如果我们在一个有1000个输入的系统中过滤999个输入,仍然有一个字段可以成为导致我们系统崩溃的致命弱点.由于过滤很难正确,因此建议使用腾讯云T-Sec Web 云防火墙、T-Sec Web应用防火墙、T-Sec 主机安全、容器安全服务TCSS、T-Sec 安全运营中心、T-Sec 漏洞扫描服务 等.产品都有很成熟的解决方案.省时省力.最后祝大家代码不出BUG
2.4K60编辑于 2022-11-10 - 来自专栏红日安全
Web安全Day10 - 重放攻击实战攻防
本文由红日安全成员: misakikata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。 此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。
2.9K11发布于 2020-02-29 - 来自专栏渗透测试专栏
渗透测试web安全综述(4)——OWASP Top 10安全风险与防护
OWASP Top 10 OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)是一个在线社区,开源的、非盈利的全球性安全组织,主要在Web OWASP Top 10列出了公认的最有威胁性的Web应用安全洞,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞。 如果无法实现这些控制,请考虑使用虚拟修复程序API安全网关或Web应用程序防火墙(WAF)来检测、监控和防止XXE攻击。 失效的访问控制 未对通过身份验证的用户实施恰当的访问控制。 禁用 Web服务器目录列表,并确保文件元数据(如:git)不存在于 Web的根目录中。 记录失败的访问控制,并在适当时向管理员告警(如:重复故障)。 这包括:OS、Web服务器、应用程序服务器、数据库管理系统(DBMS)、应用程序、API和所有的组件、运行环境和库。 不定期做漏洞扫描和订阅你使用组件的安全公告。
2.6K20编辑于 2024-09-27 - 来自专栏WhITECat安全团队
推荐 | 10个好用的Web日志安全分析工具
经常听到有朋友问,有没有比较好用的web日志安全分析工具? 首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。 一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多,今天推荐十个比较好用的Web日志安全分析工具。 7、web-log-parser 一款开源的分析web日志工具,采用python语言开发,具有灵活的日志格式配置。 10、IBM QRadar Qradar有一个免费的社区版本,功能上和商用版本差别不大,适合小规模日志和流量分析使用。 团队成员目前由起源实验室核心成员、一线安全厂商攻防实验室、某研究院、漏洞盒子TOP10白帽子等人员组成。团队内有不定期的技术交流,(不可描述)工具分享等活动,致力于实现“开放分享”的hack精神。
2.4K10发布于 2020-09-17 - 来自专栏Bypass
推荐 | 10个好用的Web日志安全分析工具
经常听到有朋友问,有没有比较好用的web日志安全分析工具? 首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。 一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多,今天推荐十个比较好用的Web日志安全分析工具。 一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。 下载地址: https://wangzhan.qianxin.com/activity/xingtu ? 7、web-log-parser 一款开源的分析web日志工具,采用python语言开发,具有灵活的日志格式配置。 10、IBM QRadar Qradar有一个免费的社区版本,功能上和商用版本差别不大,适合小规模日志和流量分析使用。
3.5K12发布于 2020-07-02 - 来自专栏全栈程序员必看
web安全概述_网络安全和web安全
id=1721098433786504052&wfr=spider&for=pc WEB 常见的脚本语言类型有哪些? asp,php,aspx,jsp,javaweb,pl,py,cgi 等 WEB 的组成架构模型? windows linux 中间件(搭建平台):apache iis tomcat nginx 等 数据库:access mysql mssql oracle sybase db2 postsql 等 WEB 相关安全漏洞 WEB 源码类对应漏洞 SQL 注入,上传,XSS,代码执行,变量覆盖,逻辑漏洞,反序列化等 WEB 中间件对应漏洞,WEB 数据库对应漏洞,WEB 系统层对应漏洞,其他第三方对应漏洞 后门在安全测试中的实际意义? 关于后门需要了解那些?(玩法,免杀) 版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
1.5K30编辑于 2022-11-05 - 来自专栏只喝牛奶的杀手
web安全
随着业务的需要,大数据项目以及大型项目业务越来越多的研发上线,网络知识的普及和频发的安全事件也使客户及业务方对网络安全性要求越来越高,安全测试除了常规的白盒自动化代码扫描外,很多功能、逻辑判断上的安全隐患在目前是无法很清晰的做到自动化分析 ,这个时候需要一定黑盒及手工方法来做深入的安全测试。 好多企业不想为安全买单……,但是码代码的你会考虑基本的安全吗? 还有一点在线预览以及一些与xml相关的业务要手工测试是否存在XXE安全漏洞及逻辑漏洞,如果出现这种漏洞程序员是该拉出去祭天还是测试应该? 希望每个小伙伴告别理想化编程,做一个有安全意识的工程师!周末愉快! 你对安全重视吗?
1.2K10发布于 2019-09-02 - 来自专栏epoos.com
Web安全
通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
93610编辑于 2022-06-06 - 来自专栏问问计算机
WEB安全
随着技术的不断发展,应用安全会逐渐在各个领域扮演越来越重要的角色。 /Glossary.html) 这个可以为我们了解应用安全的方向找到一个切口。 下面几个日常相对常见的几种安全漏洞: SQL盲注 在appscan中对SQL盲注的解释是:可能会查看、修改或删除数据库条目和表,如下图: appscan中提供的了保护 Web 应用程序免遭 SQL 应避免不安全值,如‘*’、‘data:’、‘unsafe-inline’或‘unsafe-eval’。 应避免不安全值,如‘*’或‘data:’。
2.1K20发布于 2021-09-03 - 来自专栏epoos.com
Web安全
攻击者想尽一切办法,在网站上注入恶意脚本,使之在用户的浏览器上运行,当用户访问该网站的时候浏览器执行该脚本 攻击者可通过恶意脚本的执行窃取用户的Session、Cookie等敏感信息,进而危害数据安全。 4、设置CSP的安全策略 1)通过meta标签设置 <meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src '; let clean = DOMPurify.sanitize(dirty); 相关链接 [xss维基百科]https://zh.m.wikipedia.org/zh-hans/跨網站指令碼 内容<em>安全</em>策略
1.1K20编辑于 2022-06-06 - 来自专栏渗透测试专栏
渗透测试web安全综述(2)——Web安全概述
Web安全发展 在早期互联网中,Web并非互联网的主流应用。一方面是因为Web技术还没发展起来,不够成熟;另一方面通过系统软件漏洞往往能获得很高的权限。 SQL注入的出现是Web安全史上的一个里程碑,它最早出现大概是1999年,并很快就成为Web安全的头号大敌。就如同缓冲区溢出出现时一样,程序员们不得不日以继夜地去修改程序中存在的漏洞。 SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。 XSS(跨站脚本攻击)的出现则是Web安全史上的另一个里程碑。 ,OWASPTop10(2007)甚至把XSS放在榜首。 同时,Web安全技术,也将紧跟着互联网发展的脚步,不断地演化出新的变化。
66520编辑于 2024-09-27 - 来自专栏java思维导图
安全:Web 安全学习笔记
背景 ---- 说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高 ,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。 最简单的 Web 物理架构 ---- ? Web 软件安全攻击防护 ---- 一、浏览器安全攻击 Cookie 假冒 ? 慎重的选择代理服务器 使用安全的传输协议,如:SSL
1.7K31发布于 2019-05-13 - 来自专栏糖果的实验室
Web安全靶场
学习Web安全技术,除了要理清漏洞的原理之外,更好可以针对Web漏洞进行复现。 Web漏洞的产生的原因,很多时候是因为Web代码的安全性出现问题,在各种Web开发语言中,PHP语言开发的Web系统的漏洞,被利用的情况比较常见。 DVWA作为安全靶场软件,集合了各种常见的漏洞PHP代码。 安全靶场有很多种,DVWA是众多靶场中的一个,对于经典的PHP的Web漏洞,DVWA虽然不能说表现的多么惊艳,但对于模拟漏洞的现场,用于复现测试,可以达到预期效果,例如:WebShell执行这种漏洞的复现 在《墨守之道-Web服务安全架构与实践》这本书,就出现了以DVWA模拟漏洞执行,通过尝试在WAF系统上创建安全检测规则,拦截用户非法提交的非IP以外的参数。
99540发布于 2021-07-19 - 来自专栏Linyb极客之路
web安全浅析
写这篇文章的初衷,主要由于自己所负责的项目有这方面的需求,就简要提一提web安全方面的一些知识 一.web安全的兴起 web攻击技术经历几个阶段 a.服务器端动态脚本的安全问题 可以使用web应用防火墙或者一个定制的Web Server安全模块。 4、ReDOS,正则DOS 十八.Web Server配置安全 Web服务器安全即应用部署时的运行环境安全,包括Web Server、脚本语言解释器、中间件等,对其提供一些配置参数,以起到安全保护作用。 Web Server的安全关注两点:1、自身是否安全;2、其是否提供了可使用的安全功能。 十九.互联网业务安全 安全是产品的一个特性。 9、弃用不安全的函数。 10、静态分析:由相关工具辅助完成,结果与人工分析相结合。 11、动态程序分析:用户测试环节验证程序的安全性。
2K50发布于 2018-03-27 - 来自专栏木可大大
Web安全概述
[fs2ylld6z3.png] 互联网刚开始是安全的,但是伴随着黑客(Hacker)的诞生,互联网变得越来越不安全。任何一个事情都有两面性,黑客也有好有坏,好的黑客叫白帽子,坏的黑客叫黑帽子。 与此同时,随着Web技术发展越来越成熟,而非Web服务(如Windows操作系统)越来越少的暴露在互联网上,现在互联网安全主要指的是Web安全。 既然要讲Web安全,首先介绍什么是安全,安全的本质是什么?引用《白帽子讲安全》里对安全的定义:**安全问题的本质就是信任问题**。 举例来说,自行车的车锁,我们认为是安全的,因为我们认为自行车锁的制造商是不会背着我们留有钥匙,如果这个信任都没有的话,那么这个自行车就是不安全的。 在介绍完什么是安全的本质后,我们继续讲解安全的三要素,**机密性、完整性和可用性**。机密性指的是要求保护数据内容不能泄露,加密是实现机密性要求的常见方法。
1.6K130发布于 2018-04-06 - 来自专栏小豪成长日记
白话web安全
等我马不停蹄的登录账号后,我的材料,武器,金币都没了~~ 虽然说这个事和网络安全关系不是很大,完全是因为自己啥都不懂,那个网站应该不是腾讯官方的。 相当于我把我的账号密码主动泄漏给他人了~ 不过如果你想保护好的你的账号和隐私,对于网络安全还是有必要进行了解的。 更多详见: 美团web安全-csrf host、referrer、origin xss攻击 什么是xss xss是是一种代码注入攻击,或者说是一种插入式脚本攻击,攻击者利用对浏览器、服务器、数据库的理解 更多详见: 美团web安全-xss sql注入 其实和xss攻击中提及的数据库部分是一样的。 web安全是网站应用诞生的产物,一个攻一个守,本文介绍的只是冰山一角,希望能帮到有需要的人。
37230编辑于 2023-10-22 - 来自专栏Java架构师必看
web安全论坛
1.1处理用户访问 大多数web应用程序都使用下面的三重相关的安全机制来处理访问: 1、验证 2、会话管理 3、访问控制 1.1.1验证 验证机制在一个应用程序的用户访问处理中是一个最基本的部分。 大多数的web应用程序都采用常规的验证模型,即用户提 交一个用户名和密码,应用程序检查它的有效性。在安全性很重要的应用程序 中,如在线银行,这个基本的验证模型常增加额外的证书和多级登录过程。 对于之后的访问,web应用程序会要求你重新登录。 就攻击而言,会话管理机制高度地依赖于它的令牌的安全性。针对会话管理机制的多数攻击都是试图损害发送给别的用户的令牌。 非常多的web应用程序漏洞的出现是因为用户提供的数据是以不安全的方法被处理的.在一些情况下,存在安全的编程方法能够避免通常的问题.例如,SQL注入攻击能够通过正确的参数查询被阻止.在另外的情况中,应用程序功能设计的方法存在内在的不安全性 1.2.2.5 边界检查 对于web应用程序,核心安全问题的出现是因为接受自用户的数据是不可信任的.尽管在客户端实现的输入验证检查能够能够提高性能和用户体验,但是这对于实际到达服务器的数据却没有任何担保
2.2K40编辑于 2022-04-02 - 来自专栏clz
Web开发安全
Web 开发安全 参加字节跳动的青训营时写的笔记。这部分是刘宇晨老师讲的课。 1. (出自阮一峰的网络日志) 协议相同 域名相同 端口相同 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 2.2.2 CSP CSP(Content Security Policy):内容安全策略 决定好哪些源(域名)是安全的 来自安全源的脚本可以执行,否则直接报错 对于 eval / inline script 2.2.4 SameSite Cookie 避免用户信息被携带 下面的部分参考自Cookie 的 SameSite 属性 Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险
1.3K20编辑于 2023-01-02 - 来自专栏句小芒的学习专栏
Web安全笔记
Web安全笔记 SQL注入 说明:将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 防范: 对输入字符进行严格验证,
81320编辑于 2022-12-29 - 来自专栏性能与架构
web安全 - CSP
CSP 全名 内容安全策略(Content Security Policy) 主要用来防御:XSS CSP 基本思路 定义外部内容引用的白名单 例如 页面中有个按钮,执行的动作源于 http:
2K70发布于 2018-04-03
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号