安全Security 密码散列Password Hashing 防止跨站点请求伪造攻击Cross-Site Request Forgery (CSRF) protection 设置组件Setting up the component 外部资源External Resources 安全Security 该组件可以帮助开发人员在共同安全方面的一些...

十四、XML 外部实体注入 示例 1. Google 的读取访问 2. Facebook 单词 XXE 3. Wikiloc XXE 总结 十四、XML 外部实体注入 作者：Peter Yaworski 译者：飞龙 协议：CC BY-NC-SA 4.0 XML 外部实体（XXE）漏洞涉及利用应用解析 XML 输入的方式，更具...

Hash 算法与数字摘要 定义 常见算法 性能 数字摘要 Hash 攻击与防护 Hash 算法与数字摘要 定义 Hash（哈希或散列）算法，又常被称为指纹（fingerprint）或摘要（digest）算法，是非常基础也非常重要的一类算法。可以将任意长度的二进制明文串映射为较短的（通常是固定长度的）二进制串（Hash 值），并且不同的明文很...

数据库安全 phpGrace 的数据操作类使用了 PDO 预处理机制作为基础实现了自动参数绑定功能，极大程度的保证了数据操作安全。请尽量使用数据操作类提供的方法去操作数据。跨站攻击防御 phpGrace 对 $_POST 数据默认进行了特殊字符过滤，无特殊情况下请不要关闭它。url 参数安全 系统对url也进行了基础的过滤，请严格验证 url 参数（非空判...

Django 1.7.6 版本发行说明 通过 ModelAdmin.readonly_fields 中的属性缓解了XSS攻击 漏洞修复 Django 1.7.6 版本发行说明 2015 年 3 月 9 日 Django 1.7.6 修复了 1.7.5 版本中的一个安全问题和一些错误。 通过 ModelAdmin.readonly_field...

黑名单封禁 场景说明 配置说明 黑名单封禁 场景说明 假设我们的服务遭受了来自特定IP的攻击，或特定接口（如发放代金券）被恶意调用；希望可以对指定流量进行封禁，如： 封禁IP：攻击流量来自某些固定的IP（2.2.2.2） 封禁PATH：攻击流量针对某些特定的PATH（/bonus） 配置说明 在样例配置(conf/)上添加一些新的...

Hash 算法与数字摘要 定义 常见算法 性能 数字摘要 Hash 攻击与防护 Hash 算法与数字摘要 定义 Hash（哈希或散列）算法，又常被称为指纹（fingerprint）或摘要（digest）算法，是非常基础也非常重要的一类算法。可以将任意长度的二进制明文串映射为较短的（通常是固定长度的）二进制串（Hash 值），并且不同的明...

Pcalua简介： 配置攻击机msf： 靶机执行： 注： 请多喝点热水或者凉白开，可预防肾结石，通风 等。痛风可伴发肥胖症、高血压病、糖尿病、脂代谢紊乱等多种代谢性疾病。 Pcalua简介： Windows进程兼容性助理(Program Compatibility Assistant)的一个组件。 说明： Pcalua.exe所在路径已被系统...

本地会话超时机制 详细描述 建议 CWE/OWASP 本地会话超时机制 详细描述 移动设备经常丢失或被盗，攻击者可以利用活动的会话来访问敏感数据，执行事务或在设备所有者的帐户上执行侦察。 此外，如果没有适当的会话超时，应用可能容易受到中间人攻击的数据拦截。 建议 任何时间应用程序不使用超过5分钟，终止活动会话，将用户重定向到登录屏幕，...

翻译详情 简介 Burp Suite 文档 Target组件 Proxy组件 Spider 组件 Scanner 组件 Intruder 组件 Repeater 组件 Sequencer 组件 Decoder 组件 Comparer 组件 Extender 组件 套件功能 选项 Burp 合作者 翻译详情 以下的目录结...