安全最佳实践 双向 TLS 授权策略 更安全的授权策略模式 使用 default-deny 授权策略模式 使用 ALLOW-with-positive-matching 和 DENY-with-negative-match 模式 理解授权策略中的路径规范化 配置路径规范化选项的指导原则 案例 1：您不需要规范化 案例 2：您需要规范化，但不确...

防止frame劫持和点击劫持 详细描述 建议 参考 CWE/OWASP 防止frame劫持和点击劫持 详细描述 Frame劫持涉及在iFrame中传送Web / WAP站点。 这种攻击可以使“包装”站点执行点击劫持攻击。 点击劫持是一个非常真实的威胁，已被利用高信息服务（例如Facebook）窃取信息或重定向用户到攻击者控制的网站。 F...

多租户 用例 多团队 多客户 术语 租户 展示共存租户模型的集群 隔离 控制面隔离 命名空间 访问控制 配额 数据平面隔离 网络隔离 存储隔离 沙箱容器 节点隔离 额外的注意事项 API 优先级和公平性 服务质量 (QoS) DNS Operators 实现 每个租户独立的命名空间 多团队租户 多客户租户 策略引...

多租户 用例 多团队 多客户 术语 租户 展示共存租户模型的集群 隔离 控制面隔离 命名空间 访问控制 配额 数据平面隔离 网络隔离 存储隔离 沙箱容器 节点隔离 额外的注意事项 API 优先级和公平性 服务质量 (QoS) DNS Operators 实现 每个租户独立的命名空间 多团队租户 多客户租户 策略引...

Chromium浏览器安全架构 Chromium浏览器安全架构 大部分当前web浏览器使用一种将用户和网络结合成一个单一保护域的单片结构。在这样的浏览器中，攻击者可以利用任意代码执行漏洞，盗取敏感信息或者安装恶意软件。在这篇文章里，我们展示了Chromium的安全架构。Chromium有着两个处于独立保护域 的模块：一个是浏览器内核，与操作系统交互，...

9.2 使用Aircrack-ng工具破解无线网络 9.2.1 破解WEP加密的无线网络 Data：被捕获到的数据分组的数量，包括广播分组。 /s：过去10秒钟内每秒捕获数据分组的数量。 9.2.2 破解WPA/WPA2无线网络 9.2.3 攻击WPS（Wi-Fi Proteced Setup） 9.2 使用Aircrack-ng工具破解无...

RPC 协议安全 RPC 协议安全 在 Dubbo 中更安全的使用 RPC 协议 Dubbo 支持 RPC 协议的扩展，理论上用户可以基于该扩展机制启用任意的 RPC 协议，这带来了极大的灵活的，但同时也要意识到其中潜藏的安全性风险。 Dubbo 2.7 官方版本提供的序列化协议有如下几种： Dubbo RMI Hessian Http / R...

Django 1.11.21 版本发行说明 CVE-2019-12308 ： AdminURLFieldWidget 跨站脚本攻击（XSS） Django 1.11.21 版本发行说明 2019 年 6 月 3 日 Django 1.11.21 修复了 1.11.20 中的一个安全问题。 CVE-2019-12308 ： AdminURLFie...

同源策略 同源的定义 限制范围 跨域访问 更改源 CORS JSONP window.postMessage 同源策略 上一节介绍 CSP 时，我们提到了浏览器的同源策略，同源策略是 Web 安全的基础，它对从一个源加载的资源如何与来自另一个源的资源进行交互做出了限制。这是一个用于隔离潜在恶意文件的关键安全机制，每个源均与其他网络保持隔...

Web安全学习笔记 序言 笔记大纲 本地编译 Contribution License 注 Web安全学习笔记 序言 在学习Web安全的过程中，深切地感受到相关的知识浩如烟海，而且很大一部分知识点都相对零散，如果没有相对清晰的脉络作为参考，会给学习带来一些不必要的负担。于是在这之后尝试把一些知识、想法整理记录下来，最后形...