常见批评 UDP永远不会通 内核处理UDP很慢 QUIC太吃CPU 只有Google在弄 进步太小 常见批评 UDP永远不会通 很多企业、运营商和组织对53端口（DNS）以外的UDP流量进行拦截或者限流，因为这些流量近来常被滥用于攻击。特别是一些现有的UDP协议和实现易受放大攻击（amplification attack）威胁，攻击者可...

Django 1.5.2 版本发行说明 通过用户提供的重定向 URL 减轻了可能的 XSS 攻击风险。 django.contrib.admin 中的 XSS 漏洞 漏洞修复 Django 1.5.2 版本发行说明 2013 年 8 月 13 日 这是 Django 1.5.2，是 Django 1.5 的修复错误和安全发布版本。 通过用...

目录遍历 解决方案 目录遍历 目录遍历 ：是另外一种注入方式的攻击，在这种攻击中，恶意用户诱骗文件系统代码对Web服务器不应该访问的文件进行读取和/或写入操作。 例子可以是这样的，某个视图试图在没有仔细对文件进行防毒处理的情况下从磁盘上读取文件： def dump_file ( request ): filename = re...

内容提要 摘要认证的改进 后面的内容 内容提要 本章提供HTTP官方定义的另外一种认证协议————摘要认证。 摘要认证跟基本认证兼容，但更安全，虽然没有得到广泛应用，但对安全事务来说，这些概念是很重要的。 摘要认证的改进 与基本认证相比，摘要认证虽不是最安全的认证方式，但却在以下几点上做了一些改进，以此来降低安全事务风险。 1...

Django 1.9.10 版本发行说明 在使用 Google Analytics 的网站中存在跨站请求伪造（CSRF）保护绕过。 Django 1.9.10 版本发行说明 2016 年 9 月 26 日 Django 1.9.10 修复了 1.9.9 版本中的一个安全问题。 在使用 Google Analytics 的网站中存在跨站请求伪造（...

基础篇 进阶篇 Web 安全防范 扩展阅读 PHP 篇收集了一些常见的基础、进阶面试题。 基础篇 Get 和 POST 的区别 单引号和双引号的区别 isset 和 empty 的区别 echo、print_r、print、var_dump 之间的区别 什么是 MVC？ 传值和传引用的区别？ Cookie 和 Session 的区别和关系 ...

八、跨站请求伪造 描述 示例 1. Shopify 导出已安装的用户 2. Shopify Twitter 断开连接 3. Badoo 账户的完整控制 总结 八、跨站请求伪造 作者：Peter Yaworski 译者：飞龙 协议：CC BY-NC-SA 4.0 描述 跨站请求伪造，或 CSRF 攻击，在恶意网站、电子邮...

Protecting against CSRF Play 的 CSRF 防御 应用全局 CSRF 过滤 获得当前令牌 在会话中添加 CSRF 令牌 基于单个 action 的 CSRF 过滤 CSRF 配置选项 Protecting against CSRF 跨站请求伪造（CSRF）是一种安全漏洞。攻击者欺骗受害者浏览器，并使用受害者的会...

数据库加密认证 数据库加密认证 采用基于RFC5802机制的口令加密认证方法。 加密认证过程中采用单向Hash不可逆加密算法PBKDF2，可有效防止彩虹攻击。 创建用户所设置的口令被加密存储在系统表中。整个认证过程中口令加密存储和传输，通过计算相应的hash值并与服务端存储的值比较来进行正确性校验。 统一加密认证过程中的消息处理流程，可有效防止...

Django 1.8.15 版本发行说明 在使用 Google Analytics 的网站中存在跨站请求伪造（CSRF）保护绕过。 Django 1.8.15 版本发行说明 2016 年 9 月 26 日 Django 1.8.15 修复了 1.8.14 版本中的一个安全问题。 在使用 Google Analytics 的网站中存在跨站请求伪造...