一些安全问题 XSS的防范 Reflected XSS Stored XSS CSRF 的防范 一些安全问题 Web 应用中存在很多安全风险，这些风险会被黑客利用，轻则篡改网页内容，重则窃取网站内部数据，更为严重的则是在网页中植入恶意代码，使得用户受到侵害。常见的安全漏洞如下： XSS 攻击：对 Web 页面注入脚本，使用 JavaScr...

中间件 可用的中间件 缓存中间件 “通用”中间件 GZip 中间件 条件 GET 中间件 本地化中间件 消息中间件 安全中间件 HTTP 严格传输安全 Referrer 政策 跨域开启策略 X-Content-Type-Options: nosniff SSL 重定向 会话中间件 站点中间件 验证中间件 CSRF 保护中间件 ...

反攻的一次溯源 — 项目实战3 事件过程 一、日志分析 二、现场还原 三、本地样本分析 四、测试并取证 反攻的一次溯源 — 项目实战3 事件过程 某厂商通过日志分析发现可疑 IP，但是日志记录里显示该 IP 的行为是频繁地登陆内网，并无发现有攻击的迹象，因此无法下手进行内网安全的加固和清除后门。而且显示的是外国 IP，无法确定是真实 I...

1.2. 星云特点 1.2. 星云特点 1.轻量级部署 星云采用完全旁路流量解析的方式来采集业务信息，企业只需要与运维配合即可完成部署。值得一提的是，即使在业务增加、变化的情况下企业都可快速地获取到网络访问、登陆、注册、下单、参与活动等业务行为。 2.内置风险识别规则，简单易用 在“星云”上内置了大量业务场景下的攻防规则，并采用可视化规则编...

防止SSL降级攻击 详细描述 建议 参考 CWE/OWASP 防止SSL降级攻击 详细描述 使用这种形式的中间人攻击，攻击者可以通过透明地劫持网络上的HTTP流量，监控HTTPS请求，然后消除SSL / TLS来绕过SSL / TLS，从而在客户端和服务器之间创建不安全的连接。 这种攻击在移动网络应用上尤其难以预防（移动网络应用本质上是一...

9.7 小结 links 9.7 小结 这一章主要介绍了如：CSRF攻击、XSS攻击、SQL注入攻击等一些Web应用中典型的攻击手法，它们都是由于应用对用户的输入没有很好的过滤引起的，所以除了介绍攻击的方法外，我们也介绍了了如何有效的进行数据过滤，以防止这些攻击的发生的方法。然后针对日异严重的密码泄漏事件，介绍了在设计Web应用中可采用的从基本到专...

实现安全数据存储 详细信息 建议 附加分层加密 Android iOS 参考 CWE/OWASP 实现安全数据存储 详细信息 在移动设备上安全地存储数据需要适当的技术。 只要有可能“简单地不要存储或缓存数据” 是避免数据在设备上被获取最直接的方式。 建议 尽量不要存储敏感数据。 减少用户信息存储的方法包括： 仅仅传输和显...

介绍 渗透测试团队与红队 总结 介绍 译者：@Snowming 在本书的上一版本（The Hacker Playbook 2）中，你的任务是渗透 SUCK 公司的武器设备库。然而他们现在又建立了新的部门，称之为 Cyber Space Kittens （CSK）。这个新部门吸取了之前安全评估的所有经验教训，加强了他们的系统，建立了本...

针对高级程序员的前言 Flask 中的本地线程对象 做网络开发时要谨慎 针对高级程序员的前言 Flask 中的本地线程对象 Flask 的设计原则之一是简单的任务不应当使用很多代码，应当可以简单地完成，但 同时又不应当把程序员限制得太死。因此，一些 Flask 的设计思路可能会让某些人 觉得吃惊，或者不可思议。例如， Flask 内部使用本地线程...

针对高级程序员的前言 Flask 中的本地线程对象 做网络开发时要谨慎 针对高级程序员的前言 Flask 中的本地线程对象 Flask 的设计原则之一是简单的任务不应当使用很多代码，应当可以简单地完成，但同时又不应当把程序员限制得太死。因此，一些 Flask 的设计思路可能会让某些人觉得吃惊，或者不可思议。例如， Flask 内部使用本地线程...