前言 XSS漏洞 Xss(Cross-Site Scripting)意为跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS漏洞是一种在WEB应用中常见的安全漏洞,它孕育用户将恶意代码植入web页面,当其他用户访问此 ...
分类:
其他好文 时间:
2020-01-29 10:44:55
阅读次数:
87
Nginx隐藏版本号在生产环境中,需要隐藏Nginx的版本号,以避免安全漏洞的泄露查看方法使用fiddler工具在Windows客户端查看Nginx版本号在centos系统中使用“curl-I网址”命令查看Nginx隐藏版本号的方法修改配置文件法修改源码法一,安装Nginx1,在Linux上使用远程共享获取文件并挂载到mnt目录下[root@localhost~]#smbclient-L//192
分类:
其他好文 时间:
2020-01-10 18:41:10
阅读次数:
119
1.What——什么是横向越权? 横向越权:横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 纵向越权:纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源 例:用户A无法访问到北京区域的用户详情,用户A没有重置北京区域用户密码的权限。 但是通过获取到重置密码的接口url和对应用户的use ...
分类:
其他好文 时间:
2020-01-08 22:42:34
阅读次数:
192
一、跨域安全限制(同源策略) 同源:协议+主机+端口相同 同源策略阻止从一个源加载的文档或脚本获取或设置从另一个源加载的文档的属性。 这种限制可以防止某些恶意攻击,但也会带来诸多不便。 解决方法: 1、document.domain + iframe (子域名代理) 1.1 知识点 (1)某一页面的 ...
分类:
Web程序 时间:
2020-01-07 18:17:12
阅读次数:
103
企业制品仓库已成为企业建设DevOps体系的重要环节,除了基本的制品存储与管理外,还需要能够与DevOps全链条实现对接与集成,并提供安全漏洞扫描与监控,建设企业可信源,从而实现完整的DevSecOps解决方案。
通过本文的对比和分析可以清楚地看出,JFrog的产品和解决方案无疑是更为全面、更为丰富、更为灵活、更为强大的选择。
分类:
其他好文 时间:
2020-01-07 14:44:59
阅读次数:
251
开源软件的大量引用,在方便了应用开发的同时,也带来了安全的隐患。利用JFrog Xray和Snyk等工具,能够帮助我们尽早地发现开源依赖引入的安全漏洞,分析漏洞的扩散范围,也可以给出修复建议,实现安全隐患的自动消除。
分类:
其他好文 时间:
2020-01-04 00:54:47
阅读次数:
80
OWASP ZAP下载、安装、使用(详解)教程 OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护。它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞。 也可以说:ZAP是一个中间人代理。它允许您查看您对Web应用程序发出的所有 ...
分类:
Web程序 时间:
2020-01-02 14:16:58
阅读次数:
601
简介:2016年4月14日,国外安全研究人员SimonZuckerbraun曝光ApacheActiveMQFileserver存在多个安全漏洞,可使远程***者用恶意代码替代Web应用,在受影响系统上执行远程代码(CVE-2016-3088)。8161端口为web控制台端口,本漏洞就出现在web控制台中。ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中adm
分类:
Web程序 时间:
2020-01-01 10:02:06
阅读次数:
97
公众号:软件测试er 9月19日 “什么是安全测试?为什么要做安全测试?安全测试与功能测试之间有何联系? ” 今天,很多软件并没有经过专门的安全测试便运行在互联网上,它们携带着各类安全漏洞直接暴露在公众面前,其中一些漏洞甚至直指软件所承载的核心敏感信息或业务逻辑。这些漏洞一旦被不怀好意者利用,很可能 ...
分类:
其他好文 时间:
2019-12-31 12:23:21
阅读次数:
86
递增(++)和递减(--)运算度容易形成一种不谨慎的编程风格.大多数的缓冲区溢出错误所造成的安全漏洞都是由于这种编码导致的. 当使用++ 和 -- 时,代码往往变得过于紧密,复杂和隐晦.因此,在JavaScript程序设计中不建议使用他们,从而使代码风格变得更为整洁. ++ 和 -- 运算符只能够作 ...
分类:
其他好文 时间:
2019-12-20 17:00:55
阅读次数:
102
